- Il confronto
- Tutorial
- Flight Center fa trapelare i dati dei clienti in un modo incredibilmente stupido
Flight Center ha confermato che una significativa violazione dei dati verificatasi nel 2017 è stata il risultato di informazioni sensibili lasciate in un database fornito ai partecipanti all'hackathon. I dati compromessi includevano numeri di carta di credito e dettagli del passaporto. Nel marzo 2017, Flight Center ha ospitato un "design jam" per 16 team di hackathon, fornendo oltre 106 milioni di righe di dati contenenti 6.121.565 record di singoli clienti. L'agenzia di viaggi riteneva che i dati fossero stati privati delle informazioni riservate e che avrebbero dovuto includere solo il codice postale, il sesso e le informazioni sulla prenotazione dei clienti. Sfortunatamente, i dati, profondi 28 milioni di righe, contenevano il tipo di informazioni che i clienti di Flight Center avrebbero preferito mantenere private. I partecipanti all'hackathon hanno scoperto che 4.011 numeri di carte di credito e 5.092 numeri di passaporto appartenenti a 6.918 persone erano memorizzati nei campi di testo libero.
Lezioni da imparare
"L'archiviazione delle informazioni sul passaporto e dei dettagli della carta di credito in un campo di testo libero (incoerente con le politiche applicabili) e la mancanza di controlli tecnici per prevenire o rilevare tale archiviazione errata, hanno causato un rischio intrinseco per la sicurezza dei dati in termini di come questo tipo di dati personali le informazioni sono state protette dall'imputato immediatamente prima della violazione dei dati ", ha spiegato Angelene Falk, Commissario per le informazioni e Commissario per la privacy della privacy australiana, in una recente decisione legale. Flight Center ha informato i clienti interessati che le loro informazioni personali erano state compromesse e ha condotto un post -revisione dell'incidente per valutare l'impatto aziendale a lungo termine e i rischi di follow-up. Un piano di rimedio ha suggerito di scansionare i sistemi degli intervistati per identificare e rimuovere eventuali istanze di dati archiviati in modo improprio, aggiornare la politica sulla privacy dell'azienda e assumere uno specialista esterno di intelligence sulle minacce per monitorare i social media e il dark web per vedere se i dati trapelati sono stati pubblicati da qualche parte. Al momento non vi è alcuna indicazione che i dati compromessi dall'hackathon siano stati pubblicati online, ma l'incidente rimane imbarazzante per Flight Center. Non sorprende che l'hackathon rimanga l'unico che l'azienda abbia ospitato fino ad oggi. attraverso la registrazione