Study constateert dat topreisbedrijven nog steeds moeite hebben om uw gegevens veilig te houden

2024 Auteur: Cyrus Reynolds | [email protected]. Laatst gewijzigd: 2024-02-08 22:45

Als u online een reis boekt, denk dan aan alle persoonlijke gegevens die u deelt: uw adres, uw paspoortgegevens en natuurlijk uw creditcardgegevens. Als je boekt via een grote luchtvaartmaatschappij of hotelketen, ga je er waarschijnlijk vanuit dat je gegevens veilig zijn. Echter, een recent rapport van Which? laat zien dat veel grote namen in de reis- en horecasector nog steeds worstelen met het veilig houden van klantgegevens.

Het onderzoek, uitgevoerd in juni 2020 in samenwerking met beveiligingsbedrijf 6point6, wijst uit dat de websites van 98 verschillende reisorganisaties honderden kwetsbaarheden bevatten die door een derde partij kunnen worden uitgebuit. De bedrijven variëren van hotelketens en luchtvaartmaatschappijen tot touroperators en cruisemaatschappijen.

Een van de ergste overtreders waren British Airways, Marriott en easyJet-drie bedrijven die al het doelwit zijn geweest van datalekken, waardoor de persoonlijke informatie van bijna 350 miljoen klanten is gelekt.

"Helaas komen dit soort beveiligingsinbreuken ongelooflijk vaak voor. Dit is verontrustend omdat deze bedrijven gevoelige klantinformatie bewaren, zoals de namen, adressen, e-mailadressen en betalingsinformatie van gebruikers, dus als de gegevens worden vrijgegeven, kunnen ze zijnhun klanten vatbaarder maken voor identiteitsdiefstal, wat kan leiden tot financiële verliezen, "vertelde Gabe Turner, cyberbeveiligingsexpert en hoofdredacteur van de digitale beveiligingswebsite Security.org aan TripSavvy. "Bedrijven moeten meer investeren in digitale beveiliging, vooral als ze persoonlijk identificeerbare informatie van klanten."

Welke? ontdekte ook dat veel van de gestolen reisgegevens beschikbaar waren op het dark web, en het vinden van 7,2 GB aan gegevens van de reisboekingssite ixigo kon worden gekocht voor $ 262. Deze informatie omvatte namen, adressen, wachtwoorden, paspoortnummers en andere gevoelige informatie.

De studie van Which? onderzocht alle gerelateerde domeinen en subdomeinen van de hoofdwebsite van het getroffen bedrijf, inclusief inlogportalen voor werknemers, om kansen te vinden waarin hackers toegang konden krijgen tot gevoelige informatie. Bij het uitvoeren van het onderzoek gebruikten de onderzoekers geen complexe hackmethoden, maar legaal beschikbare tools die voor iedereen toegankelijk zijn.

Toch beweren sommige van de in het rapport genoemde bedrijven dat hun cyberbeveiligingsmaatregelen adequaat zijn. "We nemen de bescherming van de gegevens van onze klanten zeer serieus en blijven zwaar investeren in cyberbeveiliging", vertelde Catherine Wilson, een woordvoerder van British Airways, aan TripSavvy. "We hebben meerdere beschermingslagen en zijn ervan overtuigd dat we de juiste controles hebben om de geïdentificeerde kwetsbaarheden te verminderen. Deze controles worden vaak niet gedetecteerd in ruwe externe scans."

British Airways was het doelwit van een cyberaanval in 2018 inwaarbij de namen, e-mailadressen en creditcardgegevens van bijna 500.000 klanten werden gestolen. In reactie daarop stelde de ICO een boete voor van $ 230 miljoen, de hoogste boete ooit onder de Algemene Verordening Gegevensbescherming. Welke? Het onderzoek bracht 115 potentiële kwetsbaarheden aan het licht, waarvan er 12 als "kritiek" werden beschouwd op de website van British Airways. Het ontdekte ook maar liefst 497 kwetsbaarheden op de website van Marriott en 222 kwetsbaarheden in de negen domeinen van easyJet. Zelfs bedrijven die nog geen spraakmakend datalek hebben meegemaakt, zoals het in Fort Worth, Texas gevestigde American Airlines, bleken kwetsbaarheden te hebben.

De studie concludeert dat de drie bedrijven, onder andere, "niet hebben geleerd van eerdere datalekken en hun klanten blootstellen aan opportunistische cybercriminelen", schreef Rory Boland, Which? Redacteur van de reis. "Reisbedrijven moeten hun spel verbeteren en hun klanten beter beschermen tegen cyberdreigingen."