Исследование показывает, что ведущие туристические компании все еще борются за обеспечение безопасности ваших данных

2024 Автор: Cyrus Reynolds | [email protected]. Последнее изменение: 2024-02-09 02:44

Когда вы бронируете поездку онлайн, подумайте обо всех личных данных, которыми вы делитесь, - ваш адрес, паспортные данные и, естественно, данные вашей кредитной карты. Если вы бронируете через крупную авиакомпанию или гостиничную сеть, вы, вероятно, считаете, что ваша информация в безопасности. Тем не менее, недавний отчет Which? показывает, что многие крупные компании в сфере туризма и гостиничного бизнеса продолжают бороться за безопасность данных клиентов.

Расследование, проведенное в июне 2020 года в сотрудничестве с охранной фирмой 6point6, указывает на то, что веб-сайты 98 различных туристических компаний содержат сотни уязвимостей, которыми может воспользоваться третья сторона. Компании варьируются от гостиничных сетей и авиакомпаний до туроператоров и круизных компаний.

Среди самых злостных нарушителей были British Airways, Marriott и easyJet - три компании, которые уже стали жертвами утечек данных, в результате чего была утечка личной информации почти 350 миллионов клиентов.

"К сожалению, эти типы нарушений безопасности невероятно распространены. Это вызывает беспокойство, потому что эти компании хранят конфиденциальную информацию о клиентах, такую как имена пользователей, адреса, адреса электронной почты и платежную информацию, поэтому, если данные будут раскрыты, они могут бытьделая своих клиентов более уязвимыми к краже личных данных, что может привести к финансовым потерям», - сказал TripSavvy Гейб Тернер, эксперт по кибербезопасности и главный редактор веб-сайта по цифровой безопасности Security.org. «Компаниям необходимо больше инвестировать в цифровую безопасность, особенно если они личная информация клиентов."

Какой? также обнаружил, что большая часть украденных данных о путешествиях была доступна в даркнете: данные объемом 7,2 ГБ с сайта бронирования путешествий ixigo можно было купить за 262 доллара. Эта информация включала имена, адреса, пароли, номера паспортов и другую конфиденциальную информацию.

Исследование Которого? изучили все связанные домены и поддомены основного веб-сайта пострадавшей компании, включая порталы входа сотрудников, чтобы найти возможности, с помощью которых хакеры могут получить доступ к конфиденциальной информации. При проведении исследования следователи использовали не сложные методы взлома, а легально доступные инструменты, доступные каждому.

Тем не менее, некоторые из компаний, упомянутых в отчете, настаивают на том, что их меры кибербезопасности адекватны. «Мы очень серьезно относимся к защите данных наших клиентов и продолжаем вкладывать значительные средства в кибербезопасность», - сказала TripSavvy Кэтрин Уилсон, представитель British Airways. «У нас есть несколько уровней защиты, и мы удовлетворены тем, что у нас есть необходимые средства управления для устранения выявленных уязвимостей. Эти средства управления часто не обнаруживаются при грубом внешнем сканировании».

British Airways стала целью кибератаки в 2018 году вбыли украдены имена, адреса электронной почты и информация о кредитных картах почти 500 000 клиентов. В ответ ICO предложило штраф в размере 230 миллионов долларов, самый крупный штраф, когда-либо предусмотренный Общим регламентом защиты данных. Который? исследование выявило 115 потенциальных уязвимостей, 12 из которых были признаны «критическими» на веб-сайте British Airways. Также было обнаружено 497 уязвимостей на веб-сайте Marriott и 222 уязвимости в девяти доменах easyJet. Уязвимости были обнаружены даже в компаниях, которые еще не сталкивались с громкими утечками данных, например, в Форт-Уэрте, штат Техас, American Airlines..

Исследование приходит к выводу, что три компании, среди прочих, «не смогли извлечь уроки из предыдущих утечек данных и оставляют своих клиентов уязвимыми для оппортунистических киберпреступников», - пишет Рори Боланд, Который? Редактор путешествия. «Туристические компании должны улучшить свою игру и лучше защитить своих клиентов от киберугроз».