практический пример на Emirates.com

1656667703 prakticheskij primer na emiratescom

от Konark Modi

P8LzS4Z7fkOdi4brzAf31ofyiclYlnqmZxWr

Я спросил жену, хорошо ли, если ее дату рождения знает незнакомый человек. Только если они пришлют мне подарок на день рождения, пошутила она. А как насчет номера вашего паспорта? Она опустила читаемую книгу. Теперь я привлек ее внимание.

А теперь представьте себе: я сказал: «Вы пытаетесь зарегистрироваться на рейс онлайн и видите сообщение об ошибке – это бронирования не существует». Вы попробуйте еще раз, это точно ошибка. Нет, то же сообщение об ошибке. Сотрудник колл-центра повторяет те же слова. Это должно быть ошибка! Вы проверяете свою электронную почту, и вот она – глядя на вас – электронное письмо с подтверждением отмены. Но ты уверен, что ты этого не делал. Кто нет?

Это не надуманный сценарий из научно-фантастической книги, это действительно случилось.

Организация с основным цифровым продуктом, которому не хватает даже базовых методов защиты данных, живет в утопическом мире, где люди покидают свои сейфы открытыми и никогда не ожидают, что сюда войдет грабитель.

После полного раскрытия где-то в прошлом году, бронируя путешествие для моей семьи, я встретил несколько методов защиты данных, которые меня, как сторонника безопасности данных, чрезвычайно обеспокоили. Когда я выразил свое беспокойство команде Emirates, этот разговор состоялся:

J98i59bZQiaHOsLcEjwt8BwljNL7iZvwi2Vt
Беседа со службой поддержки Emirates.

Для неспециалиста: при бронировании внутреннего или международного рейса Emirates существует примерно 300 точек данных, связанных с вашим бронированием.

В тот момент, когда вы нажмете «Управление настройками», чтобы выбрать место или обед для своего путешествия или зарегистрироваться на рейс, ваш идентификатор бронирования и фамилия передаются примерно 14 разным трекерам сторонних разработчиков, таких как Crazy egg, Boxever, Coremetrics, Google и Facebook среди прочих.

Подробности

После завершения бронирования на Emirates я получил подтверждение по электронной почте под названием: Подтверждение бронирования – номер бронирования.

8-8XXdTlMKTutKcdyriWK1-UD4YgeZlyVGJL
Электронная почта для подтверждения заказа.

Тело электронного письма содержало управление бронированием. Я выбрал места и обед, нажав кнопку «Управлять бронированием» и перешел на страницу «Управлять настройками». Это было очень просто.

U2fdc81FxC3yRXi5ooiz2GLDMtJOS8Cks5nj
Управляйте ссылкой на бронирование по электронной почте.

Как пользователь я видел обычное поведение при нажатии ссылки и переходе на целевую страницу «Управление параметрами», в фоновом режиме происходила цепочка перенаправления.

TJgXmvJ95h6sw3noBhTlGdU5OEVB7t9ZnKAQ
Цепь перенаправления перед достижением целевой страницы.

Хотя ссылка «Управление бронированием» должна быть исключительной для меня (пользователя и веб-сайта), эта ссылка также была предоставлена ​​многим трекерам сторонних разработчиков, реализуемым Emirates на их веб-страницах.

UfY2o2W4fksf1pZbNRZLXMNFjBqL6oLzQ5kU
Управление страницами бронирования.

Вишенкой на торте была HTTP-ссылка, которая ведет на страницу «Управление настройками». О незащищенности HTTP говорили снова и снова, особенно когда речь идет о поддержке подлинности содержимого и защите от злоумышленников. Короче говоря, HTTP-ссылка – это кошмар конфиденциальности данных. Таким образом, компания Emirates не только передавала информацию о пользователе собственноручно созданным посторонним трекерам, но и позволяла злоумышленникам сети иметь доступ к якобы «частной» странице.

GUDfElLiP1iynwZ8AL84GTAMC27HCh8HMZqB
http://track.emirates.email/track/click/30705682/www.emirates.com?p=eMSwicCI6IntcInVcIjozM….(УДАЛЕНО)

К какой информации имеют доступ посторонние лица?

Ссылки, упомянутые в (1) и (2), отправляются третьим лицам.

blQnYPaptvr2V9k8ruJXyJGRaAmdhhrrpIgp

Следующие поля содержат URL, который дает доступ к деталям бронирования.

S5Ah2kCOMZJznXUtFly-KRt1VltJgYrJl37d
Поля, содержащие частный URL.
CcJhlcel0E2cjrlD7WtgacQvlv4FF-4YGvbt
Отправка URL-адреса в ключе `dr`, используемого Google Analytics.
DbuxeC1c16zWXNAguVpioFAOrfXXq0F9cdVE

Кто-нибудь, кто имеет доступ к этим ссылкам, может не только читать, но и редактировать информацию, которую могу я как пользователь.

Например, теперь они могут —

  1. Изменить или отменить рейс
  2. Смените место или предпочтение пищи
  3. Добавьте больше продуктов для бронирования
  4. Изменить или добавить паспортные данные
  5. Измените или добавьте информацию о постоянном пассажире.
MJWQLCMrz6SWu2nMTuq3fm7swGiAfxl3hOO0
-NJQfaC6PV7DtifczwFIsA0ZDRRksu-EfopD
vxvDjZC9XrDCMiaWBG-WWrs4hhWzRapLS2by
Сменить бронирование.

Выставка редактируемой личной информации на этой странице:

a. Полное имя:

B3TaqII7bAoKkofhVk21DY040GlpuBHQ-wQP
Имя.

b. Номер Skywards

Pw9KljVJmGJOZCbxPjC4R4XFYy2Id4EdJsjw
Номер Skywards

и. ID электронной почты / номер телефона:

IXHrwJuTbuoulITQC4tADyQKdE79YKYR62DV
Читать/изменять личную информацию

d. Уплаченная сумма, разрыв тарифа.

F76wEiebLxzeqNvF1mrtmweKg9z4huZqJsby
Сумма оплаты, форма оплаты, разбивка тарифа.

д. Паспортные данные, Национальность, Дата рождения, Пол

0zHmM1qv8K4ZqfE6fbG4MRnAfGgKrwAEK1ms
Паспортные данные, дата рождения, срок действия, пол, гражданство.

Примечание: В октябре 2017 года такие поля, как номер паспорта, идентификатор электронной почты и номер телефона, были замаскированы в пользовательском интерфейсе, но не были замаскированы в исходном коде. С этого момента веб-приложение было обновлено, и теперь эти поля омрачены.

8EbqAkIVUoJKvI6RnBvGSlDOG1hll183ivzO
Замаскированные поля в обычном тексте. (октябрь 2017)

Я решил заглянуть в мобильное приложение и проверить, догоняет ли прошлое настоящее, и вот оно было в полной красоте — номер паспорта, идентификатор электронной почты и номер телефона в виде обычного текста. То, что было запутано в веб-приложении, было легко доступно в мобильном приложении.

FOZAgyc668QqoBD3zh17PB6fOdh0ir4oSCD8
Паспортные данные в виде обычного текста на мобильном API.

Что с этим не так ли?

Эта проблема касается не только Emirates, многие авиакомпании, как Lufthansa, KLM (в последний раз проверено в октябре 2017 года), страдают от подобных проблем.

Каждый веб-сайт использует трекеры сторонних разработчиков для улучшения своего продукта и обеспечения лучшего опыта использования Интернета. Утечки данных часто считаются сопутствующими убытками, а иногда вообще не учитываются при внедрении таких трекеров.

Большинство из этих третьих сторон присутствуют на многих других веб-сайтах и ​​используют долгосрочные идентификаторы, такие как файлы cookie и т.д., для отслеживания пользователей в разных доменах. Теперь, поскольку один из веб-сайтов, в этом случае Emirates, вытекает конфиденциальную информацию, эти компании теперь могут не только связывать действия пользователя в Интернете, но и идентифицировать, кто этот пользователь.

Вопросы, на которые Emirates (и другие) требуют ответа:

  1. Почему моя информация о бронировании была передана этим третьим сторонам без моего явного согласия.
  2. Почему этим третьим лицам нужна эта информация?
  3. Известно ли Emirates об утечке конфиденциальной информации пользователей этим третьим лицам?
  4. Кто эти третьи лица?
  5. Что они делают с информацией о пользователях?

Сообщение об этом в Эмирате

В связи с ответственным поведением, обнаружив эти серьезные недостатки безопасности, нарушающие конфиденциальность данных пользователей, я решил сообщить о них Emirates через Twitter DM в октябре 2017 года. Обратите внимание, что я не мог найти специальный канал для сообщения об ошибках безопасности в Emirates веб-сайт.

Команда социальных медиа немедленно ответила на мой DM в Твиттере сформулированным ответом, но я не был готов терять надежду. Я также написал электронное письмо менеджеру по продуктам, отмечая недостатки безопасности. Меня встретила оглушительная тишина.

По состоянию на сегодняшний день (2018–03–03) многие из этих проблем все еще сохраняются.

Это серьезное нарушение конфиденциальности, нет смысла во время процесса бронирования, когда я соглашался предоставлять любую эту личную информацию любому из этих веб-сайтов.

Сама политика конфиденциальности Emirates не очень ясна. В нем упоминаются некоторые из этих служб, но не все или данные, которые им предоставляются.

Могу ли я не отказаться?

Не вариант. К сожалению, я не мог найти способ отказаться от этой системы, предоставленной Emirates. Наконец-то мне пришлось вернуться к использованию расширений браузера, сохраняющих конфиденциальность.

Не может ли это исправить Emirates?

Как инженер-программист, работавший в некоторых крупнейших компаниях электронной коммерции, я понимаю необходимость использования услуг сторонних разработчиков для оптимизации и усовершенствования не только цифрового продукта, но и того, как пользователь взаимодействует с продуктом.

В этом случае проблема заключается не в использовании сторонних услуг, а в реализации этих услуг. Emirates контролирует свой веб-сайт и то, что веб-сайт предоставляет сторонним службам. Именно этот контроль необходимо осуществлять, чтобы ограничить утечку информации Пользователя.

Это не огромная задача, это просто вопрос приверженности сохранению основного права на частную жизнь.

Например:

  1. Частные страницы должны иметь мета-теги noindex.
  2. Ограничьте наличие сторонних сервисов на частных страницах.
  3. Политика перехода на страницы с конфиденциальными данными.
  4. Внедрить CSP и SRI. Даже с большим количеством сторонних служб CSP, SRI не включен на Emirates.com
  5. Пользователь должен быть проинформирован, когда конфиденциальная информация, например паспорт, контактная информация и т.д., обновляется, редактируется или удаляется.
  6. Домен для отправки электронной почты: track.emirates.email должен иметь действительный сертификат. https://track.emirates.email/
n04rAIAp6Z1zBmHuWz4symTvtvVt7W-nTKOP

Если вам интересно узнать больше о присутствии трекеров на ваших любимых веб-сайтах, я настоятельно рекомендую проверить WhoTracksMe.

Обновление:

— 6 марта 2018:

Emirates ответили стандартным заявлением.

Выдержка: «Изображение в статье г-на Моди о том, какие данные передаются, или выбор клиента относительно «отказа» неточен».

Вот мой ответ: Утечка информации о конфиденциальности: Emirates.com отрицает

Счастливого взлома!

— Конарк Моди

Спасибо за чтение и распространение! 🙂

Если вам понравилась эта история, не стесняйтесь??? несколько раз (до 50 раз. серьезно).

Благодарность: особая благодарность Remi, Pallavi за просмотр публикации.

Добавить комментарий

Ваш адрес email не будет опубликован.