😊DigitalDanceDaily
Notícias Exibir por tópico AI? Jogos de Vídeo iPhone Android Apple Google Microsoft Hardware
😊DigitalDanceDaily

Contents

Expor! Air France-KLM deixa dados de passageiros privados amplamente abertos online!

 included in News, Aeronautics, Science & Innovation, Data Security, Cyber ​​Security
   658 words   4 minutes 

/images/c2334aefb242e58b6ed8f8e846d4cb2812ed6c5ac7e1d2c70840da887b0f1ace.jpg As práticas de segurança de dados na KLM não são ideais © NYC Russ/Shutterstock

Más notícias para a Air France-KLM poucos dias antes das férias de final de ano. Parece que a companhia de aviação tem sido um pouco negligente nas suas medidas para proteger os dados dos seus passageiros.

Um relatório investigativo conduzido pela NOS, a emissora pública holandesa, em colaboração com um especialista em segurança cibernética, revelou que a Air France-KLM pode ter empregado medidas de proteção de dados abaixo do padrão para ocultar informações confidenciais dos clientes, como números de telefone, endereços de e-mail e detalhes selecionados do passaporte.. Esta revelação representa um revés significativo para a gigante da indústria aérea.

6 números que não são suficientes

A investigação iniciada pela emissora nacional holandesa, NOS, diz respeito principalmente à KLM, embora também indique que os dados dos clientes da Air France podem estar envolvidos. Neste momento, a KLM não revelou a extensão ou gravidade da violação, nem confirmou se as informações sensíveis dos viajantes foram acedidas por uma parte não autorizada. No entanto, a empresa afirma que a vulnerabilidade está extinta.

A questão levantada pela NOS dizia respeito a uma mensagem SMS que foi enviada aos clientes que adquiriram bilhete junto da empresa. Esta comunicação incluía uma hiperligação que dava acesso aos dados da viagem aérea do passageiro. Infelizmente, os links eram compostos apenas por seis caracteres, tornando viável para um sistema de computador tentar rapidamente inúmeras permutações com a expectativa de descobrir uma página web contendo informações confidenciais pertencentes a terceiros.

De acordo com a emissora pública neerlandesa, aproximadamente cada 100 a 200 tentativas de criação de ligações aéreas foram bem-sucedidas, o que significa que inúmeras ligações de clientes puderam ser acedidas através destas ligações. Felizmente, nenhum desses links revelou quaisquer dados confidenciais. Embora a KLM se tenha recusado a divulgar o número exato de links válidos disponíveis publicamente, confirmou que tais mensagens só foram enviadas para uma parte limitada da sua clientela.

Com base nas conclusões da NOS, foi determinado que aproximadamente 0,5 a 1,5 por cento das ligações examinadas estavam funcionais. Com mais de 57 mil milhões de combinações potenciais de 6 dígitos, isto traduz-se num total de 284 milhões de possibilidades de combinações válidas. Num curto período de tempo, a NOS identificou com sucesso mais de 900 ligações que continham dados de voos ou dados sensíveis de passageiros.

Felizmente, as múltiplas tentativas de login detetadas pela NOS desencadearam um alerta na KLM, solicitando-lhes que enviassem uma equipa para resolver o problema. No futuro, os usuários serão obrigados a se autenticar antes de acessar os detalhes do voo. Lamentavelmente, apesar de ter implementado esta medida de segurança, o resultado continua abaixo do ideal.

Segurança através da obscuridade

Embora a NOS não tenha feito qualquer tentativa de ocultar a sua presença, uma entidade malévola poderia facilmente modificar o seu endereço IP para não ser detectada. Apesar dos esforços concertados da NOS, a KLM precisou de cinco horas para identificar e bloquear os endereços IP associados a este alegado “assalto”.

/images/a6b8a35029e0f9b97e83ad44d4f165bdf1551e1f52357099094af313c3e8c8bc.jpg Ocultar informações atrás de uma URL difícil de adivinhar envolve o uso de uma técnica chamada “segurança através da obscuridade” e raramente é muito eficaz © Jarretera

É de facto desconcertante observar que informações pessoais estavam publicamente disponíveis online, apesar da recusa da KLM em divulgar mais detalhes sobre os seus protocolos de segurança. Embora possa ser verdade que alguns casos de dados altamente confidenciais, como números de passaporte, estivessem ausentes dos registros de voo, outras informações pessoalmente identificáveis, incluindo endereços de e-mail, números de telefone e detalhes relacionados a viagens, poderiam fornecer uma riqueza de informações valiosas para cibercriminosos com intenções nefastas..

Na verdade, esta informação fornece amplas bases para a concepção de esquemas de phishing persuasivos e precisamente direccionados. Consequentemente, os indivíduos devem ter cautela ao receber quaisquer cartas duvidosas relativas a companhias aéreas durante o período seguinte.

Fonte: NOS

*️⃣ Link da fonte:

NOSSO ,

Updated on 2023-12-20
Back | Home