Исследователи крупнейшей британской компании в области интернет-безопасности обнаружили уязвимости в системе онлайн-регистрации некоторых авиакомпаний. Некоторые авиакомпании отправляют незашифрованные ссылки на онлайн-регистрацию и путешественники, заходя на сайт перевозчика и получая посадочный талон, рискуют стать жертвой мошенников.

Эксперты утверждают, что если хакер находится, например, в той же сети Wi-Fi, то он может без проблем перехватить учетные данные, получить доступ к системе электронных билетов и даже узнать имя, фамилию пассажира, адрес его электронной почты, паспортные данные, а также сведения о рейсе. Так можно и внести изменения в брони. Уязвимость нашли в декабре 2018 года, и теперь авиаперевозчики приняли меры для повышения защиты персональных данных.

Руководитель направления «Аудит и Консалтинг» международной компании Group-IB, которая специализируется на предотвращении и расследовании преступлений с использованием высоких технологий, Андрей Брызгин рассказал, насколько велика вероятность стать жертвой хакеров при регистрации на рейс.

- Теоретически пассажир может стать жертвой киберпреступников на всех этапах: начиная от покупки авиабилетов в интернете и заканчивая онлайн-регистрацией. Стоит, однако, помнить, что злоумышленникам не чужды соображения финансовой эффективности и целесообразности. Создание фиктивной точки доступа Wi-FI в кафе или ресторане для кражи данных в момент онлайн-регистрации — задача довольно простая технически, но требующая присутствия, сопряженная с попаданием в поле зрения многих людей, камер видеонаблюдения, да и контроль радиоэфира в некоторых местах осуществляется, - объясняет специалист.

По его словам, в случае целевой атаки такого рода под конкретного человека, бронирование билета будет интересовать преступника чуть ли не в последнюю очередь.

- Если целью атаки является авиакомпания, то наиболее вероятный и универсальный вектор атак будет заключаться в создании фишингового домена (вид интернет-мошенничества с целью получения логина и пароля пользователя - прим. ред.) и рассылке писем с предложением регистрации, - говорит Андрей Брызгин. - Рассылка сотен тысяч писем обойдется злоумышленнику совсем недорого, как и создание копии сайта компании при помощи автоматизированного инструмента, а КПД атаки в 2-5 процентах переходов уже принесет тысячи наборов персональных данных и кодов регистрации.

Несмотря на то, что даже в случае получения доступа к онлайн-регистрации, возникают вопросы из разряда «Зачем вообще это было нужно?».

- Перерегистрировать всех на неудобные места? Отказаться от обеда? Дозаказать дополнительных услуг? Сомнительно. Вопрос в том, что делать дальше с этим данными, - добавил Андрей Брызгин.

В 2017 году зафиксировано две масштабные мошеннические рассылки с использованием брендов крупнейших международных компаний: Emirates, Lufthansa, El Al Israel Airlines, SPAR, Virgin America, Delta Air Lines, Air-France. Тогда злоумышленники создали 95 фальшивых сайтов, которые, однако, использовались для «нагона» рекламного трафика, но специалисты не отрицают, что такая схема может применяться для заражения устройств пользователя вредоносными программами или кражи персональных данных, денег и сведений о банковских картах, сообщает «ВМ». В сентябре 2018 года был инцидент, связанный с атакой на компанию British Airways. 

По мнению большинства экспертов утеря персональных данных таит в себе реальные риски, и угрозы - человек может лишиться денежных средств, имущества или быть втянутым в различного рода негативные истории. Да, собственно, просто не попасть на рейс, вследствие чего может сорваться, например, значимая финансовая сделка. И недооценивать данные риски не стоит.
Поэтому, персональные данные, полученные от клиента должны обрабатываться с использованием всех необходимых организационно-технических мер по обеспечению безопасности в пределах компетенции оператора, во избежание любых изменений и утраты. 
Мы ранее сообщали. что Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации подготовило поправки в КоАП дополняющие ответственность за нарушение правил обработки персональных данных. Соответствующий законопроект опубликован на Едином портале для размещения проектов НПА. Подробнее >
Предполагается, что штрафы для компаний будут составлять до 30 000 рублей, для физических лиц – до 2 000 рублей, для должностных лиц – до 6 000 рублей.

В этой связи запланировано очередное заседание Комитета по IT, миграционному и регистрационному учету, защите персональных данных и кибербезопасности Ассоциации "Безопасность туризма", участники которого рассмотрят особенности сбора и обработки персональных данных в целях соблюдения Федерального Закона «О персональных данных», постановления Правительства РФ N 687 и др.

 

Кроме того данные вопросы станут предметом обсуждения в рамках Международного форума «Безопасность туризма – 2019» !

Подробнее о Форуме >