GDPR, Ochrana dat a narušení bezpečnosti

8 velkých aerolinek + 1 špatný systém = ∞ zpřístupněných osobních údajů

Zveřejnil Dan Kresa

8. 2. 2019

968

Tato jednoduchá rovnice obletěla v týdnu celý svět. V systému pro nákup letenek,
jež využívá osm velkých leteckých přepravních společností se objevila chyba,
která umožňovala získat osobní údaje a další citlivá data o milionech cestujích.

Objev

Na chybu upozornila společnost Wandera, která se zabývá se bezpečností mobilních
telefonních zařízení. Bezpečnostní zranitelnost v systému pro nákup letenek umožnila
hackerůmzachytit emailovou komunikaci mezi cestujícími a samotným systémem.
Útočníci se dostali k jménu cestujících, jejich palubním lístkům, číslu pasu a číslu letu.

Bez reakce

Ačkoliv Wandera informovala dotčené společnosti o bezpečnostní chybě už před
několika týdny, nebyla tato zranitelnost dosud odstraněna. Hlavní nebezpečí spočívá
v tom, že zákazníkům přijde mail, ve kterém mají odkaz, po jehož prokliknutí se
dostanou do administrace svých údajů. Nicméně údaje v odkazu nejsou nijak
šifrovány (hashovány) či anonymizovány. Dokonce chybí jakýkoliv další autentizační prvek.
Tím pádem se může každý uživatel metodou pokus-omyl dostat do editace účtu jiného
uživatele a využít jeho data, jak uzná za vhodné. Editace neni nijak zabezpečna.
Uživateli stačí pouze znát link.

Národní bezpečnost

Podobný nedostatek v zabezpečení informací o uživatelích se objevil loni v USA u mobilního
operátora T-mobile. Ovšem chyba v systému pro online nákup letenek představuje daleko větší hrozbu.
Zvláště pokud tuto chybu budou schopni zneužít skupiny ohrožující národní bezpečnosti našich spojenců.
Z minulosti Bohužel víme, co může nastat, když letadlo ovládne nepřítel.

Každému, kdo cestoval s níže zmíněnými aeroliniemi doporučujeme otestovat svoje údaje v aplikaci HaveIbeenPwned,
která zjistí, zda vaše data unikla a kdy. Pokud jako organizace chcete otestovat svoji úroveň kybernetické bezpečnosti,
zkuste bezplatný analytický nástroj BEAN.

Postižené aerolinky: