Please reload

מה חדש באורנסק

בריטניה: האקרים גרמו לחברות השקעות לשלוח להם 1.3£ מיליון

04/05/2020

1/10
Please reload

חדשות אבטחת מידע

בריטניה: פרצה ב- British Airways חשפה פרטי נוסעים

בריטניה: פרצה ב- British Airways חשפה פרטי נוסעים

 

ביקורת חריפה נגד חברת British Airways על כך שאפשרה להאקרים גישה נוחה לנתוני נוסעים, כולל מידע מזהה אישית. 


הבעיה, שדווחה ב-13 באוגוסט, טמונה בקישורי הצ'ק-אין הנשלחים ללקוחות בדוא"ל. לנוחות הנוסעים, הכתובות מכילות את המידע הנדרש כדי להתחבר אוטומטית לפרטי הרישום שבידי חברת התעופה. הבעיה היא שפרטי ההתחברות הנכללים ב-URL מופיעים בטקסט גלוי, ופירוש הדבר שכל האקר עם גישה לקישור יכול להשיג גישה חופשית למידע שברשומות החברה.

 
מידע זה כולל שם, כתובת דוא"ל, מספר טלפון ופרטי טיסה – פרטים שיכולים להועיל לתקיפות המבוססות על הנדסה חברתית. כבר ידוע על מקרים בהם נוכלים תזמנו את מתקפותיהם למועד שבו מנכ"ל נמצא באוויר כדי להקשות על הליכי בדיקה בחברה (במקרה שהם מבקשים לבצע העברת כספים לחשבון שבשליטתם, למשל) וכדי להוסיף נופך של דחיפות לבקשתם. 


החוקרים, מחברת Wandera, מסרו שדיווחו ל-British Airways על הבעיה עוד ביולי, אך החברה מכחישה זאת וטוענת שאין כל עדות שמידע אישי כלשהו נגנב. 


פרצה מסוג זה נפרצת לרוב כתוצאה משני לחצים נפרדים: הצורך לפתח במהירות והצורך להקל על חיי הלקוח. לדברי נביל חנאן מ-Synopsys, אין מדובר בבאג אבטחה כפשוטו, אלא ב"ליקוי בתכנון אבטחה. הליקוי הזה מתקיים באופן שבו המערכת תכננה את תהליך הצ'ק-אין הזה ולא ניתחה את ההשלכות של העברת מרכיבי נתונים מסוימים כחלק מה-URL". 


מצב עניינים זה אינו ייחודי לחברת הדגל הבריטית. בפברואר, דיווחה Wandera על אותה הבעיה בחברות תעופה נוספות, כולל Southwest, KLM, Transavia, Vueling, Air Europe, Jetstar ו-Thomas Cook. אזהרה מוקדמת זו, לצד קנס של 230 מיליון דולר שכבר הוטל על British Airways בחודש שעבר עקב תקרית אבטחה חמורה שאירעה אשתקד, רק מגבירים את התמיהה, כיצד זה שהתאפשר לתקלה כזו להתרחש (סקיוריטי ויק). 

Please reload

עקוב אחרי אורנסק
Please reload

חיפוש לפי נושא
  • Facebook Basic Square
  • LinkedIn Social Icon
  • White Facebook Icon
  • White LinkedIn Icon

כל הזכויות שמורות לאורנטק מערכות ניהוליות © 2019

'אורנסק אבטחת מידע והגנה בסייבר' מתמחה בכל קשת שירותי הייעוץ בתחומי אבטחת המידע. שירותי אורנסק מבוססים על שנות ניסיון רבות של גיבוש, הקמה וניהול תשתיות אבטחת מידע בקרב ארגונים מובילים בארץ ובחו"ל, ביניהם ממשלות וארגונים מענפי הרפואה, התקשורת, ההייטק, הבנקאות, הבטחון, התעשייה והמסחר. אורנסק הינה חלק מחברת 'אורנטק מערכות ניהוליות', ועושה שימוש בידע והניסיון שצברה אורנטק בתחום ניהול הפרויקטים ופיתוח תוכנה וכלים ממוחשבים ייחודיים.