Aviação Civil

Air Canada sofre violação de segurança

Mais de 20 mil clientes foram afetados com a violação de segurança no aplicativo da companhia.

O comportamento incomum de conexão aconteceu entre os dias 22 e 24 de agosto.

IMG_8201 copy.jpg

A companhia se pronunciou nesta terça-feira: “Nós imediatamente tomamos medidas para bloquear essas tentativas e implementar protocolos adicionais para proteger contra novas tentativas não autorizadas.”

Mais de 20.000 perfis em 1,7 milhões de clientes “podem ter sidos usadas de forma inadequada”. Se os números de cartão de crédito não forem afetados por esse ataque, os dados potencialmente roubados incluem os nome, endereços de e-mail e números de telefone dos usuários. Em alguns casos, os dados também incluem o número Aeroplan (uma plataforma de fidelidade), número do passaporte, sexo, data de nascimento, entre outras informações.

A Air Canada não forneceu informações sobre a metodologia usada para conduzir o ataque. Mas como isso envolvia “comportamento incomum de login”, poderia ser um hacker tentando usar senhas roubadas em outros sites.

Senhas fracas

Amit Sethi, consultor principal da Synopsys Inc. , observou que um dos problemas era o uso pela Air Canada de senhas simples, geralmente fracas.

Setu Kulkarni, vice-presidente de estratégia corporativa da WhiteHat Security Inc. , disse que embora a integração da Air Canada com a plataforma Aeroplan, a plataforma usada para o aplicativo, seja “extremamente útil para a produtividade empresarial, certamente não atende às necessidades de segurança da empresa.”

Sugerindo que pode ter sido um problema com o software usado para o aplicativo, Kulkarni observou que, quando ocorreu a integração entre os sistemas existentes da Air Canada e a plataforma Aeroplan, “provavelmente uma vulnerabilidade de segurança na Air Canada começou a se propagar para o Aeroplan” através da programação da aplicação. conexão baseada em interface.

“A violação ocorreu por meio do aplicativo móvel e é muito possível que os serviços de back-end usados ​​pelo aplicativo móvel sejam os mesmos usados ​​pelo aplicativo da Web e por outros sistemas de back-end – o que poderia implicar uma violação potencialmente mais abrangente”, acrescentou Kulkarni.

“Simplesmente não há desculpa para as organizações continuarem confiando apenas nas senhas para autenticação”, disse Sethi. “Neste caso, o hack pode ter sido relacionado ao aplicativo móvel da Air Canada. Todo mundo que usa um aplicativo móvel tem um dispositivo móvel que pode usar para se inscrever em vários tipos de autenticação multifator. ”

Além disso, acrescentou, “não há desculpa para ter uma política de senha como a que a Air Canada tem atualmente: 6 a 10 caracteres sem caracteres especiais permitidos”.

Categorias:Aviação Civil

Marcado como:

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s