Digiturvatulkki

takaisin etusivulle

Lentovarausjärjestelmä vuoti 100GB asiakkaiden tietoja

Tulkkaamme caseja, joissa digiturva on syystä tai toisesta pettänyt.
Tulkkaamme ilmiöitä, jotka vaikuttavat digiturvan toteuttamiseen.
Tulkkaamme teknologiauutisia, joilla on vaikutuksia digiturvaan.
case
ilmiö
teknologia
tietoturvaloukkaus
tietoturvauhkat
Option Way

Tulkattava artikkeli

Viitattu
9.9.2019
osoitteessa
https://www.vpnmentor.com/blog/report-option-way-leak/
Based in France, with an international customer base, Option Way helps users find flight deals to and from destinations around the world. The data breach exposed the personal details of customers, creating a complete profile, as well as detailed information about their flights and travel arrangements. In total, our team had access to over 100GB of data, compromising the privacy and security of Option Way and its users.
Lue koko alkuperäinen artikkeli

Tiivistelmä

eli avainasiat yläpuolen artikkelista
Option Way vuosi 100 GB lentovarauksia tehneiden asiakkaidensa tietoja, joiden avulla huijarit voivat luoda hyvin tarkan profiilin uhreista. Tietoja voidaan tulevaisuudessa käyttää monenlaisiin huijausyrityksiin.

Tulkin kommentit

Tiivistämme uutisten ydinsisällön ja opetukset selkokielellä.

Lentovaraukset saattavat kuulostaa melko normaalilita henkilötiedolta, mutta ne ovat lopulta aika sensitiivistä tietoa. Harva tietää lentosi aikataulut ja kohteet. Jos saisit sähköpostin, jossa nämä on uskottavasti ja oikein kerrottu, voisit uskoa sen lähettäjää? Samalla tietenkin huijari saa myös tiedon, milloin et ole kotona. Lentovarauksia käsittelvältä yhtiöltä odottaisi korkeatasoista tietoturvaa.

OptionWay.com tällaista esittikin. He kertoivat verkkosivuillaan, että täältä kyllä voi lähettää meille henkilötietoja, mutta "kaikki data salataan ja suojataan Ranskan tietosuojaviranomaisen CNIL:n ohjeiden mukaisesti". Selvästikään tämä ei pitänyt paikkaansa, koska vuodon yhteydessä valtava määrä - 100 GB asiakkaiden henkilökohtaisia tietoja, löytyi täysin salamattomina avoimelta verkkopalvelimelta. Väärä viestintä saa tulkin miettimään, mahtaako organisaatio ymmärtää digiturvan alkeita alkuunkaan.

Nyt huijarit voivat myydä näitä tietoja eteenpäin pimeän verkon puolella isoimman summan tarjoavalle taholle. He puolestaan yhdistävät tietoihin tarvittaessa muita tietoja ja käyttävät niiden rinnalla taitavasti muita hyökkäystapoja, jolloin tietoja hyödyntäviä tahoja ei saada kiinni. Onneksi vuodossa ei ainakaan korostuneesti ollut mukana suomalaisten tietoja.

Mikä meni pieleen?
Vuoto sisälsi 100 GB salaamattomia henkilötietoja asiakkaista ja heidän tekemistään lentovarauksista

Vuotaneita tietoja olivat mm. lentojen lähtö- ja saapumisaika, lentojen määränpäät, lentojen hinnat sekä ostajan perustietoina nimi, syntymäpäivä, sukupuoli, sähköpostiosoite, puhelinnumero, kotiosoite ja postinumero.

Palveluntarjoaja viestii salauksesta ja tietosuojaviranomaisen suositusten noudattamisesta

Verkkosivustolla retosteltiin SSL-salauksesta sekä CNIL:n ohjeiden noudattamisesta. Selvästikään tämä ei pitänyt paikkaansa, koska paljastuneita tietoja ei oltu salattu millään tavalla.

Mainevahingot Option Way:lle

Aikovatko asiakkaat tällaisen vuodon ja valheellisen viestinnän jälkeen vielä luottaa tähän palveluntarjoajaan? Jos huijari käyttää nyt näitä tietoja, on hyvin vaikea ajatella mihin kaikkeen he niiden avulla pystyvät.

On mielenkiintoista seurata, kuinka palveluntarjoaja yrittää palauttaa asiakkaiden luottamusta tekemisiinsä.

Kuinka vältät vastaavan?
Huomioita ja vinkkejä
Vuotaneiden tietojen avulla on mahdollista luoda tarkka profiili uhreista

Tietovuoto paljasti 100GB dataa asiakkaista - se on massiivinen määrä. Näiden avulla huijari voi luoda tarkan profiilin asiakkaasta ja hänen matkustelukäyttäytymisestään. Tämän vuoksi kyseessä on kultakaivos huijareille, jota voidaan käyttää mm. seuraavanlaiseen kyberrikollisuuteen: 

Phishing & muut petokset

Huijarin on helppo muodostaa lentotietojen perusteella uskottavia viestejä asiakkaalle, joissa esitetään esim. lentoyhtiöitä tai Option Waytä, joiden avulla häntä huijataan antamaan huijarille lisää luottamuksellisia tietoja, kuten salasanoja, luottokorttitunnuksia tai muuta tietoa. Tämän jälkeen voi joutua identiteettivarkauden tai luottokorttipetoksen uhriksi. Useasti hyökkääjät ensin myös myyvät saadut tiedot eteenpäin, jotta niiden jäljittäminen vaikeutuu.

Phishing-viestien kautta voidaan myös pyrkiä levittämään haitta- tai vakoiluohjelmia.  

Lentotietojen muuttaminen

Lentovaraustietojen mukana oli varaustunniste, joka asiakkaan nimeen yhdistettynä yleensä mahdollistaa koko varauksen haltuunottamisen lentiyhtiöiden verkkopalveluissa. Täten lento voidaan perua tai sen tietoja muuttaa, josta alkuperäinen matkaaja saa tiedon ehkä vasta kentällä.

Varkaudet kotiosoitteissa

Tiedot sisälsivät henkilöiden kotiosoitteet ja matkojen ajankohdat. Jos tämä tieto myydään eteenpäin, varmasti löytyy ryöstöjä tekevä ostaja, joka mielellään käy kotiosoitteissa vierailuilla juuri pitkäkestoisten matkojen aikana. Lentojen kohteiden, kestojen ja hintojen perusteella voidaan jopa päätellä henkilöiden varallisuudestakin jotain melko hyvällä tarkkuudella.

case
ilmiö
teknologia
tietoturvaloukkaus
tietoturvauhkat
Option Way