Информация о клиентах раскрыта из-за уязвимости программного обеспечения?
В заключении проверки Управления гражданской авиации Вьетнама по факту утечки данных о пассажирах трех авиакомпаний Vietnam Airlines, Vietjet Air, Jetstar Pacific четко указано, что источником утечки информации были сотрудники авиакомпаний и уязвимости программного обеспечения, лишь частично — агенты по продаже авиабилетов.
 |
| Приветственное сообщение, которое пассажир получает, только что сойдя с самолета. |
На самом деле, это не новость. Утечка информации о пассажирах растёт с 2013 года. Управление гражданской авиации Вьетнама также обратилось к авиакомпаниям с просьбой проанализировать ситуацию и разработать планы по её предотвращению, но утечка информации продолжается и не собирается прекращаться.
Даже когда в октябре департамент создал в авиакомпаниях группу по проверке безопасности клиентской информации, те, кто допускал утечку или позволял ей просочиться, все равно не боялись, и пассажирам продолжали продавать свою информацию.
Г-жа Тхань Хуен (район Бадинь, Ханой) рассказала, что днем 6 декабря, после того как ее рейс из Фукуока (Кьензянг) приземлился в аэропорту Нойбай более чем на 5 минут, ее телефон перезагрузился и на него пришло текстовое сообщение от таксомоторной компании, работающей в аэропорту Нойбай, с предложением поездки из Нойбая в Ханой всего за 260 000 донгов.
Примечательно, что её билет был забронирован непосредственно в системе продажи билетов авиакомпании, а не через агента. Не только г-жа Хуэнь, но и многие другие пассажиры получили SMS-сообщения с приглашением взять такси по прибытии в аэропорты Нойбай или Камрань (Кханьхоа)…
Тем временем г-н NVC (Ханой) рассказал, что он владеет авиакассой, бронирует билеты для клиентов, используя номер агента, и сам также является «жертвой», поскольку ему постоянно приходят текстовые сообщения с приглашениями воспользоваться услугами такси.
По его словам, многие билетные кассы предоставляют клиентам только свои номера телефонов при бронировании, чтобы не беспокоить их, но в результате они ежедневно получают бесчисленные сообщения и звонки с приглашением воспользоваться такси или пикапом. Управление гражданской авиации Вьетнама заявило, что сама инспекционная группа, путешествующая по специальным бесплатным билетам, также получала сообщения от брокерского центра такси.
В основном персоналом авиакомпании
Это говорит о том, что утечка информации о пассажирах рейсов происходила в основном через сотрудников авиакомпаний, сотрудников касс по продаже авиабилетов или сотрудников наземного обслуживания в аэропорту.
Кроме того, по данным Управления гражданской авиации Вьетнама, агенты по продаже авиабилетов могут предоставлять информацию о пассажирах, путешествующих самолетом, организациям и частным лицам, не входящим в число пассажиров, которым агент забронировал, зарезервировал и продал билеты.
 |
| Пассажиры ждут регистрации в аэропорту Таншоннят. |
Пассажиры, на которых направлены сообщения служб такси, избирательны, уделяя особое внимание пассажирам, которые забронировали, зарезервировали и продали билеты на рейсы Vietnam Airlines (обычно эта группа пассажиров имеет более высокий доход, чем пассажиры бюджетных авиакомпаний, и эта авиакомпания не предоставляет услуг по встрече и доставке пассажиров в аэропорту).
Пассажиры, чья информация была продана, в основном направлялись в аэропорты Нойбай, Камрань и Льенкхыонг (Ламдонг) — все эти аэропорты расположены далеко от центра города.
По данным Управления гражданской авиации Вьетнама, основными пользователями персональных данных пассажиров являются брокерские центры онлайн-такси (аналогичные Uber и Grab), созданные и управляемые вьетнамскими предприятиями, а не сами таксомоторные компании, как до 2015 года.
Примечательно, что предоставление информации о пассажирах в эти центры осуществляется бесперебойно, непрерывно и систематически с помощью программного обеспечения информационных технологий.
Риск для клиентов
По словам г-на Во До Танга, директора Центра кибербезопасности Athena, частая и масштабная утечка информации свидетельствует о том, что источником утечки в основном являются сотрудники авиакомпаний. На первый взгляд, утечка информации о пассажирах во время полета кажется простой задачей, но, по словам г-на Танга, существует множество потенциальных рисков, связанных с распространением списка клиентов среди других компаний.
Вас не только беспокоят текстовые сообщения и телефонные звонки с предложениями услуг такси, но ваш список клиентов с личными номерами телефонов или адресами электронной почты также является прибыльным «продуктом», который можно перепродать компаниям, занимающимся недвижимостью, страхованием и банковским делом...
Не говоря уже о том, что в худшем случае раскрытие личной информации тех, кто «бронирует» билеты онлайн и оплачивает их с помощью банковских счетов через карты ATM, Visa... в случае использования ее хакерами также может представлять потенциальную угрозу взлома аккаунта.
 |
| Многие пассажиры авиалиний были расстроены, когда их информация была раскрыта, и им предложили такси. |
По словам г-на Тханга, проблема утечки информации о клиентах в основном обусловлена человеческим фактором, что доказывает наличие проблем в процессе управления человеческими ресурсами в компаниях.
Лучший способ предотвратить слежку — контролировать сотрудников, например, не брать с собой личные устройства, такие как USB-накопители, телефоны и накопители. До и после работы необходимо пройти проверку. Любой нарушитель будет сурово наказан. Это позволит избежать множества внутренних проблем, связанных с утечкой информации сотрудниками.
С другой стороны, в настоящее время компании, позволяющие сотрудникам использовать такие инструменты, как Viber, Facebook, Zalo..., также создают высокий риск разоблачения и утечки, если система мониторинга слишком слаба.
«Утечки информации и нарушения в других странах редки из-за строгого контроля, когда сотрудникам запрещено приносить личные устройства, и они работают только на корпоративных устройствах, оснащенных средствами безопасности. В случае утечки очень легко отследить, кто допустил утечку или нарушение», — сказал г-н Тханг, добавив, что не только в авиационном секторе, но и в других отраслях, требующих высокого уровня безопасности, надзор за сотрудниками осуществляется очень тщательно.
Этот эксперт также считает, что отсутствие достаточно строгих санкций за утечку или разглашение персональных данных также значительно облегчает распространение персональных данных во Вьетнаме. В других странах, когда происходит утечка данных клиентов, они могут собрать десятки или сотни людей, чьи данные были раскрыты или разглашены, нанять юристов для подачи исков против компаний, после чего компании обязаны провести расследование и возместить ущерб клиентам (если таковой имеется).
Для эффективного предотвращения утечки информации первым делом необходимо устранить уязвимости программного обеспечения, но, что еще важнее, создать механизм мониторинга для сотрудников авиакомпаний, а также принимать строгие административные и даже уголовные меры в случае обнаружения сетей по продаже информации.
По данным газеты Thanh Nien
| СВЯЗАННЫЕ НОВОСТИ |
|---|
