Os gigantes da indústria de viagens não conseguiram proteger seus sites
As principais companhias aéreas e cadeias de hotéis não conseguiram proteger suas plataformas online, mesmo depois que violações de dados e ataques cibernéticos anteriores expuseram informações de milhões de clientes e receberam multas de órgãos reguladores de privacidade.
Essa é a conclusão de uma investigação da Which? , que encontrou centenas de vulnerabilidades de segurança de dados em empresas de viagens populares, incluindo Marriott, British Airways e EasyJet, todas as quais sofreram anteriormente uma violação grave de dados.
Em junho de 2020, o grupo de consumidores analisou 98 empresas do setor de viagens, desde companhias aéreas a operadoras de cruzeiros, revelando uma tendência preocupante.
Marriott está jogando um jogo perigoso. Os pesquisadores que analisaram sites administrados pelo Marriott descobriram cerca de 500 vulnerabilidades, com 96 problemas sinalizados como de alta gravidade e 18 considerados críticos.
“Três vulnerabilidades críticas foram encontradas em um único site de uma das redes de hotéis da Marriott, envolvendo erros no software usado para executar o site, potencialmente permitindo que um invasor atinja os usuários do site e seus dados”, disseram os investigadores. “Relatamos nossas descobertas diretamente ao Marriott (como fizemos com todos os cinco fornecedores em nosso teste instantâneo) e ele disse que ‘não havia razão para acreditar’ que seus sistemas ou dados de clientes haviam sido comprometidos”.
A rede de hotéis poderia ter evitado uma bala, se não fosse pela multa de £ 99,2 milhões sobre a violação de dados de 2018 que expôs registros de 339 milhões de hóspedes, e a violação de maio de 2020 que comprometeu informações de 5,2 milhões de clientes adicionais.
A EasyJet também não está limpa. Os pesquisadores encontraram 222 vulnerabilidades em nove domínios administrados pela companhia aérea, incluindo duas falhas críticas, “uma tão séria que, se explorada, um invasor pode sequestrar a sessão de navegação de alguém”.
O anúncio foi feito depois que a companhia aérea de baixo custo revelou uma grande violação de dados que expôs detalhes pessoais de 9 milhões de clientes, incluindo detalhes de cartão de crédito de mais de 2.000 passageiros.
“Em resposta à nossa pesquisa, a EasyJet colocou três domínios off-line e resolveu as vulnerabilidades divulgadas nos outros seis sites,” Qual? adicionado.
A British Airways , a maior companhia aérea do Reino Unido, sofreu um ataque cibernético em 2018, que expôs informações pessoais e financeiras de cerca de 500.000 clientes. A empresa enfrenta uma multa recorde do Information Commissioner’s Office (ICO) de £ 183,39 milhões .
Os pesquisadores encontraram 115 vulnerabilidades potenciais em sites administrados por companhias aéreas, incluindo 12 consideradas críticas. Depois de revelar as descobertas à empresa, nenhum sinal de medidas de mitigação foi observado.
“Levamos a proteção dos dados de nossos clientes muito a sério e continuamos a investir pesadamente em segurança cibernética”, disse um porta-voz da British Airways à Which? investigadores. “Temos várias camadas de proteção em vigor e estamos satisfeitos por termos os controles certos para mitigar as vulnerabilidades identificadas.”
Embora a American Airlines ainda não tenha sido sujeita a uma violação de dados de alto perfil, os pesquisadores descobriram 291 vulnerabilidades em seus sites, com 30 sinalizadas como de alta gravidade e sete consideradas críticas.
“A maioria dos sites mais problemáticos parecia ser usada internamente pela equipe da American Airlines, mas quais? encontrou uma vulnerabilidade de alto impacto em um site para negócios de cartão de crédito da American Airlines ”, disseram os investigadores.
Parece que a indústria de viagens não aprendeu a lição, com muitas empresas violadas abrindo caminho quando se trata de segurança cibernética e segurança de dados de clientes.
“As empresas de viagens devem melhorar seu jogo e proteger melhor seus clientes de ameaças cibernéticas, caso contrário, a ICO deve estar preparada para intervir com ações punitivas, incluindo pesadas multas que são realmente aplicadas”, Rory Boland, editor de Which? Viagem disse.