Connect with us

Technologie

Les sites Web de l’industrie du voyage sont ridiculement précaires, affirme qui?

Published

on


Bien qu’ils aient été victimes de graves atteintes à la protection des données et qu’ils aient reçu des amendes de plusieurs millions de livres, British Airways et Marriott International n’ont apparemment pas tiré de leçons de cybersécurité, et leurs sites Web sont jonchés de centaines de vulnérabilités facilement exploitables, selon une vaste enquête sur la sécurité de l’industrie du voyage menée par le groupe de défense des consommateurs Which?.

Qui? a sondé les systèmes de 98 entreprises de voyages, y compris les goûts d’easyJet et Lastminute.com, et prétend avoir trouvé des milliers de vulnérabilités de sécurité des données qui pourraient rendre ridiculement facile pour les cybercriminels d’accéder aux données des voyageurs tels que les détails de la carte de paiement, les informations de passeport, adresses e-mail et les itinéraires.

Marriott International a été trouvé pour avoir le plus de vulnérabilités, 500 au total et 100 jugés comme élevés ou critiques, tandis que les sites Web de British Airways avait 115 vulnérabilités potentielles, 12 critiques, la plupart d’entre eux liés à des logiciels et des applications non patchés.

EasyJet, qui plus tôt en 2020 a perdu les données de neuf millions de clients, s’est avéré avoir 222 vulnérabilités dans neuf domaines, y compris une vulnérabilité qui pourrait permettre à un pirate de détourner les sessions de navigation des clients. Le site Web de Lastminute.com contenait une vulnérabilité critique qui aurait pu permettre aux attaquants de manipuler des pages, d’accéder aux cookies de session utilisateur et de créer de faux comptes.

Rory Boland, rédacteur en chef de Qui? Voyage, a déclaré: « Nos recherches suggèrent que Marriott, British Airways et easyJet n’ont pas tiré les leçons des violations de données précédentes et laissent leurs clients exposés à des cybercriminels opportunistes.

« Les entreprises de voyages doivent améliorer leur jeu et mieux protéger leurs clients contre les cybermenaces, [Information Commissioner’s Office] doivent être prêts à intervenir par des mesures punitives, y compris de lourdes amendes qui sont effectivement appliquées.

« Le gouvernement doit également autoriser un régime de recours collectif qui s’attaque aux violations massives des données – afin que les entreprises qui jouent vite et lâchement avec les données des gens puissent rendre des comptes. »

Réponses à laquelle? Résultats

Un porte-parole de Marriott a déclaré que l’entreprise se félicitait de l’apport et avait déjà effectué un examen préliminaire approfondi de laquelle? conclusions.

« À ce stade, il n’y a aucune raison de croire que les résultats ont un impact sur les systèmes ou les données des clients de Marriott », ont-ils déclaré.

« Marriott note également que certaines des conclusions ne sont pas attribuables à Marriott, que d’autres résultats n’ont pas pu être validés, que d’autres ont déjà été traitées par des contrôles compensatoires, et que bon nombre des résultats concernent l’environnement de développement de Marriott – qui contient des applications limitées et n’est pas connecté aux systèmes ou aux données clients de Marriott. »

Un porte-parole de British Airways a marqué le Qui? d’enquêter sur une série de « scans externes bruts » qui n’avaient apparemment pas détecté ses contrôles internes.

« Nous prenons la protection des données de nos clients très au sérieux et continuons d’investir massivement dans la cybersécurité. Nous avons mis en place plusieurs niveaux de protection et nous sommes convaincus que nous avons les bons contrôles pour atténuer les vulnérabilités identifiées », a déclaré la compagnie aérienne.

Un porte-parole d’easyJet a déclaré : « EasyJet prend toujours très au sérieux la sécurité de nos systèmes et la protection des données de nos clients et de ses employés, conformément à la législation pertinente. »

La compagnie aérienne a dit un certain nombre de sous-domaines sondés par lequel? liées à des fonctions internes non publiques qui n’étaient pas liées à son site Web principal et ont insisté sur le fait qu’il n’y avait aucune preuve d’une activité malveillante sur eux.

Néanmoins, easyJet s’est dite « heureuse » de présenter un examen complet de tous ses domaines, bien qu’elle n’ait pas dit pourquoi elle ne l’avait pas fait plus tôt.

Le porte-parole de Lastminute.com a affirmé que lequel? s enquête avait effectivement signalé beaucoup de faux positifs qu’elle croyait être soit à faible risque ou aucun risque du tout.

Le cabinet a déclaré: « Nos clients nous confient leurs données personnelles et parfois sensibles, il est donc important que nous ayons une stratégie de sécurité de l’information robuste et claire qui assure que nous faisons tout notre possible pour le sécuriser en conformité avec GDPR [General Data Protection Regulation] et les conseils des gouvernements locaux.

« Nous prenons une approche robuste fondée sur le risque dans notre posture de sécurité – c’est quelque chose que nous prenons incroyablement au sérieux – et nous effectuons régulièrement des évaluations des risques pour classer les priorités avec un examen attentif, ce qui signifie que les personnes, les processus et la technologie qui traitent, transmettent ou stockent des données personnelles ou sensibles sont notre plus haute priorité. »

Rob Masson, PDG du DPO Centre – un fournisseur de services de protection des donnéess – a dit qu’il était probable que lequel? les tests n’ont peut-être pas pris en compte certains outils en coulisses utilisés dans les organisations testées, ce qui aurait bloqué les tentatives d’exploiter bon nombre des vulnérabilités découvertes.

Néanmoins, a-t-il dit, les organisations nommées doivent trouver un équilibre entre les risques associés aux vulnérabilités à faible impact et les effets négatifs sur l’expérience client que la mise en œuvre des mesures de sécurité les plus strictes possibles entraînerait.

« bien que toutes ces entreprises mentionnent dans leurs déclarations que « ous prenons la sécurité de nos systèmes au sérieu », il est peut-être plus un cas de « . mais nous équilibrons également cela avec l’expérience client et les impératifs commerciaux », a-t-il déclaré.

« Cela ne veut pas dire que ces résultats doivent être ignorés de quelque manière que ce soit, comme il faut le faire et qu’il faut toujours faire davantage, et compte tenu des antécédents de ces organisations particulières en ce qui concerne leur protection de nos données personnelles, elles doivent maintenant établir des normes plus élevées pour regagner la confiance, la loyauté et l’engagement des clients », a déclaré M. Masson.

Qui? a déclaré qu’il était essentiel que les sites Web « peu performants » aient pris des mesures pour améliorer leurs postures de sécurité et les ont accusés de « manquer lamentablement » pour protéger leurs clients contre les violations de données.

Elle a appelé l’OIC à poursuivre l’émission et l’exécution de ses amendes à BA et Marriott, et a exhorté le gouvernement à mettre en œuvre des dispositions de l’article 80, paragraphe 2, du RGDP pour permettre aux organismes à but non lucratif d’intenter une action collective en réparation au nom des victimes.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Trending