Emirates отвечает на мою статью так…

emirates otvechaet na moyu statyu tak…

от Konark Modi

Вчера The Register написал о моем разоблачении о недостатках конфиденциальности веб-сайтов авиакомпаний.

Когда я опубликовал свою оригинальную статью в прошлую пятницу, Emirates не ответили на мой запрос о комментариях. Но Emirates ответили The Register следующим заявлением:

xl6tmP46uZY7rYTwUAjVKdiGO1iUe1Fi56-6
Комментарий от Emirates на theregister.co.uk

Их заявление не только расплывчато, но и фактически неверно. И я считаю своей профессиональной обязанностью призывать их к этому.

Расшифровка их утверждений и то, как их логика рушится, когда вы по-настоящему задумаетесь об этом

Выпуск №1

First Emirates говорит:Мы можем подтвердить, что ни одна из выделенных уязвимостей безопасности не позволит сломать (несанкционированный доступ) личные данные на нашем веб-сайте или в мобильном приложении».

Как Emirates определяет нарушение? Что ж, Кембриджский словарь определяет нарушение данных следующим образом:

«Случай, когда частную информацию могут видеть люди, которые не должны видеть ее».

В своей политике конфиденциальности Emirates подчеркивает важность защиты справочной информации о бронировании:

DRUrRwOdF8KCiBlvSk0qWoJ-GbrVRaDmIFF8
Политика конфиденциальности, освещающая риски, связанные с разглашением контрольного номера бронирования.

Обновление 8 марта 2018 г.: Еще один показ того, что Эмираты, кажется, забыли прислушаться к собственным советам. «Сохраняйте свой номер бронирования в безопасности» и есть до сих пор отправляя его в Google Analytics из мобильного приложения через ключ: cd8 (без маски). Я замаскировал поля на картинке, чтобы обеспечить конфиденциальность.

aCVUzJzm-yKZwhxuYTei-GlAfRKnfaD92Uhe
Отправка PNR через поле cd8 в Google Analytics.

Для любых изменений в существующее бронирование, a Номер бронирования и Фамилия это все, что нужно. Нет требования проверять, кто первоначально осуществил бронирование и имеет ли лицо, вносящее изменения, на это право или нет.

Emirates.com и версия мобильного приложения Emirates (6.1.0) позволяют доступ к разделу «Управление бронированием» на основе только на этих двух точках данных. Это стандартная практика авиакомпаний, и это не предмет споров для целей этой статьи.

Но это когда становится тревожным

По состоянию на 6 марта 2018 контрольный номер бронирования и фамилия, среди многих других данных, все еще направляются третьим сторонам. Нужны ли Crazy Egg, Boxever, Coremetrics контрольный номер и фамилия для отображения тепловой карты страницы? Так я не думаю.

Это проблема – передача личной информации пользователя третьим сторонам, которым эта информация совершенно не нужна для предоставления услуг Emirates. «в целях улучшения опыта просмотра онлайн».

Важность использования ссылок HTTPS снова и снова устанавливалась всеми, кто работает в области технологий. HTTP-ссылки не только уязвимы для атак Man-In-The-Middle, но и могут пострадать от инъекции вредоносных данных.

Я не уверен, насколько Emirates достаточно уверены в этом «подтвердить, что ни одна из уязвимостей безопасности, отраженных в статье (господин Моди), не позволит взлом (несанкционированный доступ) личных данных на нашем веб-сайте или в мобильном приложении» когда track.emirates.email все еще не имеет SSL. Как они планируют избежать атак «человека посередине»?

Выпуск №2

Эмираты говорят, «Хотя мы используем ряд аналитических инструментов сторонних разработчиков на наших сайтах для улучшения опыта веб-просмотра, мы постоянно проверяем, как они реализованы».

В статье я рассказывал о том, как паспортные данные и контактные данные были раскрыты как на веб-сайте, так и в мобильном приложении. Хотя веб-сайт был исправлен, когда я последний раз проверял в феврале 2018 года, мобильное приложение продолжает оставлять проблемы в этой области. Это может произойти только тогда, когда нет связи между веб-сайтом и командой мобильных разработчиков или если они этого не сделали «постоянно проверять внедрение» по всем продуктам.

Еще один вопрос, на который необходимо ответить, это параметры проверки реализации третьими сторонами. За исключением случаев, когда указывается строгая неутечка любой информации пользователя, проверки могут касаться любых вопросов и не будут иметь никакого влияния на безопасность и уязвимость информации пользователя, свободно передаваемой третьим сторонам.

В последний раз эта проблема была уведомлена Emirates в октябре 2017 года. В течение 5 месяцев, прошедших с тех пор, эти проблемы не были рассмотрены командой проверки. Возможно, они не такие «непрерывный» как Emirates утверждает, что они есть.

Выпуск №3

Эмираты говорят, «Клиенты могут узнать больше о том, как мы используем личные данные и как они могут отказаться, прочитав нашу политику конфиденциальности на emirates.com»

EyIuQm2i40qJNliIU6mixG5QD3EBvjyD1f27
Третьи стороны, перечисленные на странице Политики конфиденциальности.
PANiBbCzm2U6CbxfznZjQwfuEteBTSYRcvrR
Фактически присутствуют третьи лица.

После тщательного просмотра Политики конфиденциальности и файлов cookie Emirates следует обратить внимание на следующие моменты:

1. Не перечисляет ВСЕ реализованы третьи стороны и предоставляемая им информация. Третьи стороны, такие как Boxever, ads-twitter.com, Coremetrics, Imigix, bing и многие другие, которые я собрал с их веб-сайта, даже не упоминаются в их Политике конфиденциальности.

2. В доступных вариантах отказа упоминаются только методы использования файлов cookie, YourOnlineChoices. Это означает, что информация, предоставленная в Политике конфиденциальности, не только неполная, но и не содержит никаких вариантов отказа от служб CrazyEgg, BoxEver, Coremetrics и т.д. Процесс изнурительный и громоздкий.

3. Опция отказа предвзята в зависимости от страны проживания пользователей. Если вы резидент ЕС, вы можете воспользоваться этой ссылкой, чтобы отказаться. Если вы проживаете в США, это ссылка для отказа. Но если вы житель любого другого региона, мне очень жалко сообщить вам, что вас обделили.

tDl-3ATYivfyZTuq-TXReJZ2lgtXVkefX2RI

4. Отказ от файлов cookie не повлияет на утечки данных, о которых говорится в статье, поскольку реферер не очищается. Любой, кто имеет базовые технические знания, может это подтвердить.

Кратко

Даже если пользователю каким-то образом удастся отказаться от всех трекеров с помощью перечисленных и не перечисленных методов, Emirates все равно выдаст номер бронирования и фамилию, которых достаточно для доступа ко всей другой конфиденциальной информации, поскольку использование этих сторонних служб на Emirates.com имеет недостатки.

Emirates должны понимать, что после того, как информация была передана третьим лицам, они очень мало могут сделать, чтобы контролировать, как она используется или может использоваться в будущем, как они сами указали в своей политике конфиденциальности.

Одно дело для Emirates думать, что эти проблемы недостаточно критичны, чтобы они принимали необходимые меры для их решения. Совсем другое дело сказать, что информация, изложенная в статье, есть «ложь».

Я надеюсь, что они решат эти проблемы быстрее, чем позже.

Счастливого взлома!

— Конарк Моди

Спасибо за чтение и распространение! 🙂

Если вам понравилась эта история, не стесняйтесь??? несколько раз (до 50 раз. серьезно).

Кредиты: Особая благодарность Remi, Pallavi также за просмотр этого сообщения 🙂

Добавить комментарий

Ваш адрес email не будет опубликован.