L’OAIC rileva che Flight Center ha violato la privacy di quasi 7.000 clienti nel 2017

viaggio-in-aereo.jpg

La commissaria per l’informazione e la privacy australiana Angelene Falk ha emesso una decisione secondo cui Flight Center ha violato la privacy di 6.918 clienti quando ha tenuto il suo evento “design jam” nel fine settimana dal 24 marzo al 26 marzo 2017.

Il primo giorno dell’evento, Flight Center ha consegnato un set di dati contenente i dati di produzione degli anni solari 2015 e 2016 alle 16 squadre partecipanti all’evento, composto da 90 persone in totale.

VEDERE: Incontra gli hacker che guadagnano milioni salvando il Web, un bug alla volta (PDF della storia di copertina) (Repubblica tecnologica)

Il set di dati conteneva 106 milioni di righe di dati, con la società che credeva di aver offuscato le informazioni personali dei suoi clienti, lasciando solo l’anno di nascita, il codice postale, il sesso e le informazioni sulla prenotazione del cliente. Nella determinazione presa da Falk, il Flight Center ha fatto in modo che i suoi team di business intelligence e infosec australiano, nonché i coordinatori dell’evento, esaminassero le prime 1.000 righe di dati per confermare che non c’erano informazioni sensibili nel file.

Tuttavia, 36 ore dopo l’inizio dell’evento, uno dei partecipanti ha trovato un campo di testo libero sotto una colonna chiamata “ProductName” contenente i dati della carta di credito.

Flight Center ha quindi esaminato il file e ha scoperto che conteneva 4.011 carte di credito e 5.092 numeri di passaporto che interessavano 6.918 persone, oltre a 475 nomi utente e password per la maggior parte dei portali dei fornitori. Sono state inoltre identificate 757 date di nascita.

Dopo aver appreso della violazione, la società ha impedito l’accesso al file e ha troncato la colonna a 10 caratteri, ha ricevuto conferma verbale dai partecipanti di aver distrutto tutte le copie del file e ha avviato una revisione post-incidente. Coloro a cui è stato violato il pagamento o i dettagli del passaporto sono stati avvisati dalla società, hanno offerto una copertura gratuita per il furto di identità e il monitoraggio del credito per un anno e Flight Center ha pagato per il costo della sostituzione dei passaporti quando i clienti hanno optato per questo.

Falk ha affermato che il Flight Center ha stabilito che si trattava di un incidente a basso rischio perché non comportava intrusioni, l’incidente non era dannoso, un numero noto di terze parti aveva accesso ai dati e non c’erano prove di un uso improprio.

Il cuore della violazione era che il Flight Center non aveva controlli tecnici per impedire ai consulenti di viaggio di inserire le informazioni sul passaporto e i dettagli della carta di credito in un campo di testo libero diverso dal rispetto della politica aziendale, ha scritto Falk.

“L’assenza di controlli tecnici per prevenire o rilevare tale memorizzazione errata ha causato un rischio intrinseco per la sicurezza dei dati in termini di modo in cui questo tipo di informazioni personali è stato protetto dal rispondente immediatamente prima della violazione dei dati”, ha affermato Falk.

Al momento dell’incidente, Flight Center era in grado di rilevare l’archiviazione inappropriata delle informazioni sulla carta di credito in alcuni dei suoi sistemi, ma non i suoi sistemi di quotazione, fatturazione o ricezione. L’azienda ora esegue la scansione su base settimanale per la memorizzazione delle informazioni di pagamento e del passaporto nei campi di testo liberi.

Falk ha anche criticato l’azienda per aver consegnato un set di dati così grande nel primo evento che si era svolto e non aver richiesto ai partecipanti di firmare un accordo.

“Questa determinazione è un forte promemoria per le organizzazioni di integrare la privacy by design in nuovi progetti che coinvolgono la gestione delle informazioni personali, in particolare quando grandi set di dati saranno condivisi con fornitori di terze parti per l’analisi”, ha affermato Falk lunedì.

“Le organizzazioni dovrebbero presumere che si possano verificare errori umani, come la divulgazione involontaria di informazioni personali ai fornitori, e adottare misure per prevenirli.

“Dovrebbero anche effettuare valutazioni dell’impatto sulla privacy per i progetti di dati per aiutare a identificare e affrontare tutti gli impatti rilevanti sulla privacy”.

Dato che la società ha reagito rapidamente, notificando le persone prima dell’entrata in vigore del Notificable Data Breaches Scheme, offrendo a tali impatti una serie di servizi, pagando per il monitoraggio del dark web per vedere se i dettagli sono stati utilizzati in modo improprio e franchezza quando ha a che fare con il suo ufficio, Falk ha affermato che non era appropriato intraprendere ulteriori azioni oltre a dichiarare che Flight Center non ripete le sue azioni.

Copertura correlata

  • Informazioni su 27,7 milioni di conducenti del Texas esposti alla violazione dei dati di Vertafore
  • I servizi e la produzione Garmin diminuiscono dopo un attacco ransomware
  • Play Store identificato come vettore di distribuzione principale per la maggior parte dei malware Android
  • Windows 10, iOS, Chrome e molti altri rientrano nel miglior concorso di hacking cinese
  • Data#3 afferma di essere stato colpito da un incidente informatico non notificabile
  • Le agenzie di intelligence hanno bisogno di una ristrutturazione per l’era della disinformazione digitale?

Leave a Reply