Studie finner ut at de beste reiseselskapene fortsatt sliter med å holde dataene dine trygge

2024 Forfatter: Cyrus Reynolds | [email protected]. Sist endret: 2024-02-08 23:37

Når du bestiller en reise på nettet, tenk på alle de personlige dataene du deler – adressen din, passinformasjonen din og naturligvis kredittkortinformasjonen din. Hvis du bestiller gjennom et stort flyselskap eller hotellkjede, antar du sannsynligvis at informasjonen din er trygg og sikker. Men en fersk rapport fra Which? viser at mange store navn innenfor reise- og gjestfrihetssektorene fortsetter å slite med å holde kundedata trygge.

Undersøkelsen, utført i juni 2020 i samarbeid med sikkerhetsfirmaet 6point6, påpeker at nettsidene til 98 forskjellige reiseselskaper inneholder hundrevis av sårbarheter som kan utnyttes av en tredjepart. Selskapene spenner fra hotellkjeder og flyselskaper til turoperatører og cruiseselskaper.

Blant de verste lovbryterne var British Airways, Marriott og easyJet-tre-selskaper som allerede har vært utsatt for datainnbrudd, noe som har resultert i at personlig informasjon til nærmere 350 millioner kunder ble lekket.

"Dessverre er denne typen sikkerhetsbrudd utrolig vanlige. Dette er urovekkende fordi disse selskapene oppbevarer sensitiv kundeinformasjon som brukernes navn, adresser, e-postadresser og betalingsinformasjon, så hvis dataene blir avslørt, kan de væregjøre kundene mer utsatt for identitetstyveri, noe som kan føre til økonomiske tap," sa Gabe Turner, ekspert på nettsikkerhet og sjefredaktør for nettstedet for digital sikkerhet Security.org til TripSavvy. "Bedrifter må investere mer i digital sikkerhet, spesielt hvis de håndterer kundenes personlig identifiserbare informasjon."

Hvilken? fant også ut at mye av de stjålne reisedataene var tilgjengelige på det mørke nettet, og å finne 7,2 GB data fra reisebestillingssiden ixigo kunne kjøpes for $262. Denne informasjonen inkluderte navn, adresser, passord, passnumre og annen sensitiv informasjon.

Studien av Which? undersøkte alle relaterte domener og underdomener til det berørte selskapets hovednettsted, inkludert påloggingsportaler for ansatte, for å finne muligheter der hackere kan få tilgang til sensitiv informasjon. Under gjennomføringen av studien brukte etterforskerne ikke komplekse hackingmetoder, i stedet for lovlig tilgjengelige verktøy tilgjengelig for alle.

Likevel insisterer noen av selskapene som er navngitt i rapporten at deres cybersikkerhetstiltak er tilstrekkelige. "Vi tar beskyttelsen av våre kunders data veldig alvorlig og fortsetter å investere tungt i cybersikkerhet," sa Catherine Wilson, en talsperson for British Airways, til TripSavvy. "Vi har flere lag med beskyttelse på plass og er fornøyd med at vi har de riktige kontrollene for å redusere identifiserte sårbarheter. Disse kontrollene blir ofte ikke oppdaget i grove eksterne skanninger."

British Airways var målet for et nettangrep i 2018som navn, e-postadresser og kredittkortinformasjon til nærmere 500 000 kunder ble stjålet. Som svar foreslo ICO en bot på 230 millioner dollar, den største boten noensinne under den generelle databeskyttelsesforordningen. Hvilken? sin studie avdekket 115 potensielle sårbarheter, hvorav 12 ble ansett som "kritiske", på British Airways' nettsted. Den fant også svimlende 497 sårbarheter på Marriotts nettsted og 222 sårbarheter på tvers av easyJets ni domener. Selv selskaper som ennå ikke har opplevd et høyprofilert datainnbrudd, som Fort Worth, Texas-baserte American Airlines, ble funnet å ha sårbarheter.

Undersøkelsen konkluderer med at de tre selskapene, blant andre, "ikke har klart å lære av tidligere datainnbrudd og etterlater kundene sine utsatt for opportunistiske nettkriminelle," skrev Rory Boland, Which? Travels redaktør. «Reiseselskaper må forbedre spillet og beskytte kundene sine bedre mot cybertrusler.»