英国航空公司最近承认,他们遭受了对其频繁传单方案的安全漏洞。这是另一个安全违规,影响了忠诚度计划系统。今年早些时候美国航空公司和联合航空公司遭遇安全漏洞,用户账户因犯罪分子使用被盗账户凭据而受到损害。
忠诚计划似乎对罪犯来说是不寻常的目标,因为他们通常不持有信用卡或其他财务信息。然而,经常被忽视的是,不仅忠诚计划包含大量的个人数据,这些数据可能被用于以后的鱼叉式钓鱼或身份盗窃攻击,用户赚取的积分可以用来购买门票,旅行和其他奖励。因此,这些账户中的积分实际上是有实际价值的。
去年迟到的Europol进行了一个手术导致了在45个不同国家的118人被捕。根据国际航空运输协会的数据,航空公司每年因虚假机票交易而面临超过10亿美元的损失。虽然这些欺诈性交易中有许多是由于信用卡受损造成的,但使用窃取的航空里程也可能是原因之一。
英国航空公司的一位发言人表示,这一泄密事件受到了影响
“少数频繁飞行员行政俱乐部账户。这似乎是第三方使用自动化过程在互联网上获得的信息,尝试访问某些帐户的信息。“
发言人还表示英国航空公司不是
“知道账户中任何后续信息页面的访问权限,包括旅行历史或支付卡细节。”
受影响的客户的账户已被冻结,在系统恢复正常之前,他们将无法使用奖励积分。
从英国航空公司上述声明的言外之意看,这次入侵似乎是由于从互联网上其他地方收集的登录凭证,并用于登录英国航空公司的网站。最有可能的情况是,受影响的飞行俱乐部常客在多个系统中使用相同的登录凭据。其中一个系统被攻破,使得犯罪分子可以访问其他共享这些证书的系统。
虽然我们可以为这种不安全的做法哀叹和责骂用户,但我们不应该把所有的责任都推到他们的头上。当我听说这个漏洞时,我决定访问英国航空公司的网站,注册他们的常客俱乐部,看看他们的密码管理有多健全。
下面是我尝试使用安全密码时的屏幕截图,其中使用大写字母和小写字母,数字和一些特殊字符的混合。
英国航空公司密码要求
如你所见,网站拒绝了我的安全密码,我不得不将密码降级到一个只使用大写和小写字母和数字。当然,如果用户跨多个站点重复使用安全密码,允许用户使用安全密码仍然不能保护用户。然而,它确实提高了该网站或系统的安全标准,并有助于加强用户之间良好的安全实践。
不采用安全认证系统的公司和网站只会助长用户的安全松懈,因为许多用户会使用简单、容易记住的密码。有很多网站可以使用额外的措施来增加他们的用户的安全的数据,如使用地理定位分析,设备配置用户的系统,或者使用一个基于手机两个因素所使用的身份验证方法类似的网站如Twitter, Facebook、Gmail。
像这样的漏洞也是一个及时的提示,安全官员审查他们的网站和系统的安全性,以确定他们的认证机制的有效性,特别是任何面向互联网的系统。另外,提醒一下,如果用户在多个系统中重复使用密码,那么他们很可能也会在公司系统中重复使用相同的密码。
这些类型的入侵也是在现实生活中很好的例子,可以包括在安全意识程序中,因为它们可以个性化给用户的关键信息。许多用户可能是航空公司、酒店甚至购物的各种忠诚计划的成员。强调薄弱的密码和在许多系统中重复使用密码可能会导致他们失去来之不易的忠诚积分,这可能会促使他们重新思考如何管理密码。这反过来有助于他们在企业中实行安全的密码管理。
良好的安全不是任何一方的责任。相反,用户,供应商和公司都需要确保他们采取适当的安全措施,否则安全将永远不会起飞。
这个故事,“英国航空公司常旅客课程接地”最初发表CSO .