Уебсайтовете на авиокомпаниите не се интересуват от проследяването на поверителността ви: Emirates отговаря на моята статия с пълен отказ

Вчера Регистърът написа за моите експозиции относно провалите в поверителността на уебсайтовете на авиокомпаниите.

Когато публикувах оригиналната си статия миналия петък, Emirates не успя да отговори на молбата ми за коментари. Но Emirates отговориха на The Register със следното изявление:

Коментар от Emirates на theregister.co.uk

Твърдението им е не само неясно - всъщност е неправилно. И смятам, че е мое професионално задължение да ги извикам по този въпрос.

Разбивка на тяхното изявление и как се разпада логиката им, когато наистина мислите за това

Издание №1

First Emirates казва: „Можем да потвърдим, че никоя от подчертаните уязвими места за защита няма да позволи нарушение (неоторизиран достъп) на личните данни на нашия уебсайт или мобилно приложение.“

Как Emirates определя дефекта? Е, Уикипедия определя нарушение на данните така:

„Нарушаването на данни е инцидент със сигурност, при който чувствителни, защитени или поверителни данни се копират, предават, гледат, открадват или използват от лице, което не е упълномощено да го направи.“

В своята Политика за поверителност, Emirates подчертава важността на защитата на справочната информация за резервациите:

Политика за поверителност, подчертаваща рисковете от споделяне на референтен номер на Booking.

Актуализиране на 8 март 2018 г.: Поредният експонат как изглежда Emirates са забравили да обърнат внимание на техния собствен съвет „пазете вашата резервация за резервация“ и все още я изпраща до Google Analytics от мобилно приложение чрез ключ: cd8 (без маска). Маскирах полетата на снимката, за да осигуря поверителност.

Изпращане на PNR чрез поле cd8 до Google-Analytics.

За всички промени в съществуваща резервация е необходим референтен номер и фамилия на резервацията. Не е необходимо да се проверява кой първоначално е направил резервацията и дали лицето, което прави промените, е упълномощено да го направи или не.

И двете Emirates.com и версията за мобилно приложение на Emirates (6.1.0) позволяват достъп до секцията си за управление на резервации въз основа само на тези две точки от данни. Това е стандартна практика за авиокомпаниите и това не е спорът за целите на този член.

Но това става, когато стане тревожно

От 6 март 2018 г. Референтен номер и фамилия на резервацията, сред много други точки от данни, все още се изпращат на изпълнените от тях трети страни. Нужно ли е Лудо яйце, Boxbox, Coremetrics Референтен номер и фамилия на резервацията за показване на топлинна карта на страницата? Не мисля така.

Това е проблемната област - предаване на личната информация на потребителя на трети страни, които нямат абсолютно никаква нужда от тази информация, за да предоставят услугите си на Emirates „с цел подобряване на практическата работа в интернет.“

Значението на използването на HTTPS връзки се установява отново и отново от всеки, който е всеки в областта на технологиите. HTTP връзките са не само уязвими за атаки Man-In-The-Middle, но също така могат да страдат от инжектиране на злонамерени данни.

Не съм сигурен доколко Emirates е достатъчно уверен, за да „потвърди, че никоя от уязвимостите в сигурността, посочени в статията на (г-н Моди), няма да позволи нарушение (неоторизиран достъп) на личните данни на нашия уебсайт или мобилно приложение“ при track.emirates.email все още няма SSL. Как планират да избегнат атаките на човек в средата?

Издание №2

Emirates казва: „Докато ние използваме редица аналитични инструменти на трети страни на нашите сайтове с цел подобряване на опита за сърфиране онлайн, ние непрекъснато преглеждаме как се прилагат.“

Споделих в статията как по-рано информацията за паспорта и данните за контакт не бяха объркани както в уебсайта, така и в мобилното приложение. Въпреки че уебсайтът беше фиксиран, когато проверявах последно през февруари 2018 г., мобилното приложение продължава да е проблематично в тази област. Това може да се случи само когато липсва комуникация между Уебсайта и Екипа за разработка на мобилни устройства или те не „непрекъснато преглеждат внедряването“ във всички продукти.

Друг въпрос, на който се изисква отговор, е какви са параметрите за преглед на изпълнението на трети страни. Освен ако мандатът не е стриктно да НЕ изтича всякакъв вид информация за потребителите, прегледите могат да бъдат от каквото и да било и не биха имали най-малкото въздействие върху сигурността и уязвимостта на потребителската информация, която се предава свободно на трети страни.

Последният път, когато този брой беше изтъкнат на Emirates, беше през октомври 2017 г. За изминалите 5 месеца от тогава тези издания не бяха избрани от екипа за преглед. Може би те не са толкова "непрекъснати", както Емиратс твърди, че са.

Издание №3

Emirates казва: „Клиентите могат да научат повече за това как използваме лични данни и как те могат да се откажат, като прочетат нашата политика за поверителност на emirates.com“

Трети страни, изброени на страницата с политиката за поверителност.На практика присъстват трети страни.

След задълбочен преглед на Политиката за поверителност и бисквитките на Emirates, това са точките, които трябва да отбележите:

1. Той не изброява ВСИЧКИ реализирани трети страни и информацията, която се споделя с тях. Трети страни като Boxever, ads-twitter.com, Coremetrics, Imigix, bing и много други, които събрах от уебсайта им, дори не се споменават в тяхната Политика за поверителност.

2. Наличните опции за отказ само споменават начини за използване на бисквитки, YourOnlineChoices. Това означава, че не само информацията, предоставена в Политиката за поверителност, е непълна, но също така не споделя никакви опции за отказ от услуги CrazyEgg, BoxEver, Coremetrics и т.н. Процесът е досаден и тромав.

3. Възможността за отказ се отклонява от страната на пребиваване на потребителите. Ако сте местно лице на ЕС, можете да използвате тази връзка, за да се откажете. Ако сте местен жител на САЩ, това е връзката за отказ. Но ако сте жител на някой друг регион, съжалявам, че го нарушавам, че сте били променени за кратко.

4. Отказът от бисквитките няма да окаже влияние върху изтичането на данни, подчертано в статията, тъй като препращащият не се почиства. Всеки с основни познания в областта на техниката може да потвърди това.

Накратко

Дори ако потребителят по някакъв начин успее да се откаже от всички проследяващи, използвайки изброените и не изброени методи, Emirates все още ще изтече резервационната справка и фамилното име, което е достатъчно за достъп до цялата друга чувствителна информация, тъй като прилагането на тези услуги на трети страни на Emirates.com е с недостатъци.

Emirates трябва да разбере, че след като информацията бъде споделена с трети страни, има много малко неща, които могат да направят, за да контролират как се използва или може да бъде използвана в бъдеще, както самите те споменаха в своята политика за поверителност.

Емират едно нещо да смята, че тези проблеми не са достатъчно критични, за да предприемат необходимите действия за отстраняването им. Съвсем различно е да се каже, че информацията, споделена в статията, е „не вярна“.

Надявам се те да решат тези проблеми по-скоро, отколкото по-късно.

Честито хакерство!

- Konark Modi

Благодаря за четенето и споделянето! :)

Ако тази история ви е харесала, не се колебайте няколко пъти (До 50 пъти. Сериозно).

Кредити: Специални благодарности на Remi, Pallavi за прегледа тази публикация :)