Undersøgelse viser, at de bedste rejseselskaber stadig kæmper med at holde dine data sikre

2024 Forfatter: Cyrus Reynolds | [email protected]. Sidst ændret: 2024-02-07 12:44

Når du bestiller en rejse online, så tænk på alle de personlige data, du deler - din adresse, dine pasoplysninger og naturligvis dine kreditkortoplysninger. Hvis du bestiller gennem et stort flyselskab eller hotelkæde, antager du sandsynligvis, at dine oplysninger er sikre. Men en nylig rapport fra Which? viser, at mange store navne inden for rejse- og gæstfrihedssektoren fortsat kæmper med at holde kundedata sikre.

Undersøgelsen, der blev gennemført i juni 2020 i samarbejde med sikkerhedsfirmaet 6point6, påpeger, at 98 forskellige rejseselskabers hjemmesider indeholder hundredvis af sårbarheder, der kan udnyttes af en tredjepart. Selskaberne spænder fra hotelkæder og flyselskaber til rejsearrangører og krydstogtsrederier.

Blandt de værste lovovertrædere var British Airways, Marriott og easyJet-tre-selskaber, der allerede har været udsat for databrud, hvilket resulterede i, at de personlige oplysninger om tæt på 350 millioner kunder blev lækket.

"Desværre er disse typer sikkerhedsbrud utroligt almindelige. Dette er bekymrende, fordi disse virksomheder opbevarer følsomme kundeoplysninger såsom brugernes navne, adresser, e-mailadresser og betalingsoplysninger, så hvis dataene afsløres, kan de væreat gøre deres kunder mere modtagelige for identitetstyveri, hvilket kan resultere i økonomiske tab," sagde Gabe Turner, cybersikkerhedsekspert og chefredaktør på webstedet for digital sikkerhed Security.org til TripSavvy. "Virksomheder skal investere mere i digital sikkerhed, især hvis de håndterer kunders personligt identificerbare oplysninger."

Hvilken? fandt også ud af, at meget af de stjålne rejsedata var tilgængelige på det mørke web, og at finde 7,2 GB data fra rejsebookingssiden ixigo kunne købes for $262. Disse oplysninger omfattede navne, adresser, adgangskoder, pasnumre og andre følsomme oplysninger.

Undersøgelsen af Which? undersøgte alle relaterede domæner og underdomæner på den berørte virksomheds hovedwebsted, herunder medarbejderlogin-portaler, for at finde muligheder, hvor hackere kunne få adgang til følsomme oplysninger. Ved gennemførelsen af undersøgelsen brugte efterforskerne ikke komplekse hackingmetoder, i stedet for lovligt tilgængelige værktøjer, der var tilgængelige for alle.

Alligevel insisterer nogle af de navngivne virksomheder i rapporten på, at deres cybersikkerhedsforanst altninger er tilstrækkelige. "Vi tager beskyttelsen af vores kunders data meget alvorligt og fortsætter med at investere massivt i cybersikkerhed," sagde Catherine Wilson, en talsmand for British Airways, til TripSavvy. "Vi har flere beskyttelseslag på plads og er overbeviste om, at vi har de rigtige kontroller til at afbøde identificerede sårbarheder. Disse kontroller opdages ofte ikke i grove eksterne scanninger."

British Airways var målet for et cyberangreb i 2018hvor navne, e-mailadresser og kreditkortoplysninger på tæt på 500.000 kunder blev stjålet. Som svar foreslog ICO en bøde på 230 millioner dollars, den største bøde nogensinde under den generelle databeskyttelsesforordning. Hvilken? 's undersøgelse afslørede 115 potentielle sårbarheder, hvoraf 12 blev anset for "kritiske" på British Airways' hjemmeside. Den fandt også svimlende 497 sårbarheder på Marriotts hjemmeside og 222 sårbarheder på tværs af easyJets ni domæner. Selv virksomheder, der endnu ikke har oplevet et højt profileret databrud, såsom Fort Worth, Texas-baserede American Airlines, viste sig at have sårbarheder.

Undersøgelsen konkluderer, at de tre virksomheder, blandt andre, "har undladt at tage ved lære af tidligere databrud og efterlader deres kunder udsat for opportunistiske cyberkriminelle," skrev Rory Boland, Which? Rejsers redaktør. "Rejseselskaber skal øge deres spil og bedre beskytte deres kunder mod cybertrusler."