Взлом компьютеров авиакомпании EasyJet

Аватар пользователя Сударь

Не далее, как сегодня, авиакомпания прислала лично мне, с дикими извинениями сожалениями (We are very sorry),  "благую весть" о том, что их компьютер был взломан поцами высокой квалификации ("highly sophisticated"), и некоторые персональные данные утекли в грязные  руки оных:

 

"Dear Customer,

I wanted to write to you personally in regards to a recent cyber security incident at easyJet.

As you may have heard, we announced on 19th May 2020 that we were the target of an attack from a highly sophisticated source. As soon as we became aware of the attack, we took immediate steps to manage and respond to the incident, closing off the unauthorised access. We engaged leading forensic experts to investigate the issue and we also notified the National Cyber Security Centre and the Information Commissioner’s Office (ICO).

Our investigation found that your name, email address, and travel details were accessed for the easyJet flights or easyJet holidays you booked between [...] 2019 and [...] 2020. Your passport and credit card details were not accessed, however information including where you were travelling from and to, your departure date, booking reference number, the booking date and the value of the booking were accessed. 

We are very sorry this has happened."

update. Оставляю ссылку на разборки с сайта The Independent, а то особо одаренные обвиняют в рассылке зеков.

 

Авторство: 
Авторская работа / переводика
Комментарий автора: 

Зуб дают, что данные паспорта и кредитки - не спёрли. "Не верю" (с). Но мой банк всегда требует авторизацию разовым пин-кодом по оплате картой. Ну и вообще, если признают взломщиков highly sophisticated, то сама фирма - лохи позорные.

ps. Осталось дождаться обвинений в сторону KGB и русских хакеров. А может теперь - китайских?

pps. Риторический вопрос. Можно ли потребовать с фирмы компенсацию за их лоховство преступную небрежность?

Комментарии

Аватар пользователя v.p.
v.p.(9 лет 1 месяц)

Риторический вопрос. Можно ли потребовать с фирмы компенсацию за их лоховство преступную небрежность?

 

не-а. ;-) там специально обученные юристы писали договор публичной оферты, и уж они по GDPR прошлись как сумели.

Аватар пользователя Karbafoz
Karbafoz(2 года 9 месяцев)

Договор публичной оферты и GDPR это, скорее, пенпердикулярные понятия.

Требования GDPR - это получить от клиента явное согласие (consent) на хранение и обработку его персональных данных. В тексте консента обязательно указать какие данные будут собираться и обрабатываться и с какой целью. Также в GDPR прописаны и действия в случае нескнкционированного доступа к данным - "письмо счастья", которое получил автор как раз и есть подтверждение того, что компания следует GDPR. 

А вот уже в договоре публичной оферты прописывается, что "в случае чего мы вас, конечно, предупредим, но компенсации вам не положено". 

Аватар пользователя v.p.
v.p.(9 лет 1 месяц)

я вообще не понял, к чему относятся твои возражения, если конечно "пенпердикулярные понятия" считать таковыми. сам же всё расписал, где, кому, за что и почему.

 

processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures (‘integrity and confidentiality’).

 

вот это "using appropriate technical or organisational measures" именно то, о чём я, и ты тоже, но почему-то ты не вспомнил вот этот принцип GDPR.

Аватар пользователя Karbafoz
Karbafoz(2 года 9 месяцев)

Пенпердикулярны в том смысле, что GDPR не регулирует финансовые отношения между citizen'ом и data controller'ом.  Регулятор может финансово покарать компанию если та сознательно нарушает GDPR. Но если компания в целом следует практикам, кого надо проинформировала и приняла меры - то врядли. Разве что могут провести аудит соответствия.

Финансовые отношения гражданин - компания регулируются договором. В нём обычно и снимается ответственность с компании за подобные проколы, и это было еще до внедрения GDPR.

Вообщем GDPR тут просто не к месту помянут - извините, что прицепился. Профессиональная деформация личности, вызванная стрессом при внедрении ;)

 

Аватар пользователя gruzzy
gruzzy(7 лет 4 месяца)

письмо распечатайте, на память. вдруг пригодится. тогда и взыщите с них

Аватар пользователя ВладиславЛ
ВладиславЛ(2 года 11 месяцев)

Како смысл летать на пассажирских авиабомбах? Самолёты сс ЭДСУ компьютерным управляются теми кто зашёл в борт. В случае с самолётом летевшим над Синаем  явно сработала РЭБ израильтян. Я видел пока не успели откорректировать скорость на высоте ниже скорости сваливания при данной нагрузке - специалисты по таким операциям плохо разбираются, и что так летел нескольоко минут - на следующих день уже были правдоподобные х-ки заменены. 

Последняя надёжная хоть как-то магистральная машина это шумный  Ил-18 и то для военных, а Як-42М на прикол поставили. Я работал в компании где совладелец фирмы имел отказ всех систем над Чёрным морем. Летели по солнцу - если бы это был современный самолёт все бы погибли. 

Аватар пользователя no_name
no_name(4 года 2 месяца)

Русские, как на канадщину да маямщину убегают, так такими пугливыми становятся. В России вон почти ежедневно какие-то утечки организуют и ничё, народу как-то пофигу. Как же вы, иностранцы, с Россией собираетесь воевать, если даже личными данными в сети вас можно испугать?

Комментарий администрации:  
*** Дерьманто без пальто ***
Аватар пользователя Остап
Остап(6 лет 7 месяцев)

Народу не пофигу (у тестя счёт обчистили, да так, что он до сих пор боится сумму назвать), пофигу полиции, опсосам и банкам.

Комментарий администрации:  
*** Уличен в сочинениях, что рубли печатают с той же скоростью, что баксы ***
Аватар пользователя no_name
no_name(4 года 2 месяца)

Это как можно снять всё бабло с карты? На оплату безналом без ввода пин-кода ограничение 1-3 тыщи в зависимости от ... Онлайн-операции проводятся только с смс-подтверждением. Так что очень ваши слова для меня удивительны.

Комментарий администрации:  
*** Дерьманто без пальто ***
Аватар пользователя mmx
mmx(6 лет 3 недели)

Да эт крымчанка, дочь офицера.

Аватар пользователя Остап
Остап(6 лет 7 месяцев)

Да стандарт - звонок от "службы безопасности банка" со знанием имени, фамилии и номера карты, далее давление "по вашему счёту непонятные операции проходят, надо срочно остановить" - много ли надо, чтобы человека в 90 лет напугать и давить чтобы не успел опомниться? Он же сам смс-подтверждения и диктовал. 

Интересно стало дальше: в конце разговора его поймала дочь по скайпу и тут же (в течении минуты) после "операции" заставила перезвонить в банк, потом в МТС, потом в полицию. Никто даже не дёрнулся что-то сделать. Даже не пытались. Точнее, пытались - отбрыкаться от заявления, уговаривая. что всё уже с концами. Хотя банки могли проследить операции, куда ушло. Не хотели и не стали. Пообещали провести расследование и так ничего и не прислали, даже формальной отписки. Хотя если отслеживать переводы по таким схемам, то они обязательно начнут сходиться в те места, где происходит обналичка или отмывка. Этих групп бандюков не миллионы, их точно можно отследить по счетам. НЕ ХОТЕЛИ. МТС отказалась проследить звонок. Я понимаю, что это было скорее всего с какого нибудь анонимного скайпа-сипа, но ведь они отказались даже попытаться проследить.

Комментарий администрации:  
*** Уличен в сочинениях, что рубли печатают с той же скоростью, что баксы ***
Аватар пользователя sugrobische
sugrobische(8 лет 8 месяцев)

кредитные карты всякие бывают, особенно раньше, особенно во всяких отсталых в этом смысле австриях с германиями. у меня лет 10 назад была немецкая кредитка, с неё в пиндосии кто-то снимал кэш малыми дозами таки до тех пор, пока снималось. никаких привязок к телефону или двухшаговых авторизаций тогда не было. банк мне бабло целый масяц возвращал.

сейчас со всякими изиджетами пользуюсь только виртуальными одноразовыми картами, чего и вам советую. 

Аватар пользователя kurgan
kurgan(3 года 1 месяц)

Вы владеете статистикой утечек по РФ? Не поделитесь? С чего вы решили что у нас каждый день что то утекает. 

Аватар пользователя no_name
no_name(4 года 2 месяца)

Последнее предложение тоже должно заканчиваться знаком вопроса. 

Комментарий администрации:  
*** Дерьманто без пальто ***
Аватар пользователя Сударь
Сударь(5 лет 5 месяцев)

Русские, как на канадщину да маямщину убегают, так такими пугливыми становятся. В России вон почти ежедневно какие-то утечки организуют и ничё, народу как-то пофигу. Как же вы, иностранцы, с Россией собираетесь воевать, если даже личными данными в сети вас можно испугать?

С какого болта вы считаете себя русским больше, чем другие? Речь в статье про взлом и хищение данных. А уж кто и как к этому относится - дело личное.

Пример: вы живете на 1м этаже, народ мимо окон туда - сюда ходит. Будуте ли закрывать занавески (особенно - вечером, при вкюченном свете), дабы оградить частную жизнь, или станете вещать о своей смелости?

Аватар пользователя Morr_A
Morr_A(9 лет 1 месяц)

Про пример.

Да пофигу. Стыдно кому видно. Хочется им на мои труселя глядеть, да пусть глядят.

Аватар пользователя Сударь
Сударь(5 лет 5 месяцев)

Стыдно кому видно.

Пословицазвучит иначе: "Стыдно, у кого видно".

Хочется им на мои труселя глядеть, да пусть глядят.

А если в доме ещё кто-то есть?

В общем - понятно.

Аватар пользователя Morr_A
Morr_A(9 лет 1 месяц)

Только у тупых стыдно у кого видно. В реальной жизни никогда и ни кто не знает за что их могут осуждать, по этому просто нереально убрать всё, что могут увидеть. А вот лезть нахально в чужую жизнь и осуждать то, до чего тебе не должно быть никакого дела должно быть стыдно. Но ведь это не про Вас? Для Вас не стыдно подглядывать, но стыдно когда за вами подглядывают...

Аватар пользователя Сударь
Сударь(5 лет 5 месяцев)

Только у тупых стыдно у кого видно.

Без стыда трясут яйцами на людях эксгибиционисты. Но ведь это не прол Вас? Что такое стыд, можно почитать в интернет.

В реальной жизни никогда и ни кто не знает за что их могут осуждать, по этому просто нереально убрать всё, что могут увидеть.

Закрыть штору - это как раз и убрать всё с глаз. Это просто.

А вот лезть нахально в чужую жизнь и осуждать то, до чего тебе не должно быть никакого дела должно быть стыдно. Но ведь это не про Вас? Для Вас не стыдно подглядывать, но стыдно когда за вами подглядывают...

Не следует перекладывать свои детские воспоминания на других. И пытаться хамить - тоже. Я - не сторонник банов, но иногда их выписываю, когда теряют берега. 

Аватар пользователя Morr_A
Morr_A(9 лет 1 месяц)

Видимо про тупых я был прав...

Дома я могу трясти яйцами когда захочу и сколько захочу по времени. Хочется за мораль задвигать, сначала нужно определиться, что более аморально, вести себя как хочется в своём личном пространстве, либо подглядывать за этим личным пространством.

Бан от извращенца? Да это как награда!

Аватар пользователя Сударь
Сударь(5 лет 5 месяцев)

Видимо про тупых я был прав...

Дома я могу трясти яйцами когда захочу и сколько захочу по времени. Хочется за мораль задвигать, сначала нужно определиться, что более аморально, вести себя как хочется в своём личном пространстве, либо подглядывать за этим личным пространством.

Бан от извращенца? Да это как награда!

Бан тупому и больному извращенцу-эксгибиционисту. Нормальные люди на первом этаже занавески вешают. Чтобы ни придурки, ни прос то случайные прохожие свои рыла в личную жизнь не совали. Ну это же как гигиена - садиться за стол с чистыми руками. Но свинье это не понять.

Аватар пользователя Morr_A
Morr_A(9 лет 1 месяц)

Да ещё добавлю. Крайняя степень аналогичной с вашей шизой проявляется в некоторых мусульманских течениях. Женщина дабы не сподвигнуть на греховные мысли, обязана запутать себя в кокон. А иначе она сама виновата в том, что её захотели изнасиловать.

Это и есть то, что вам реально хочется, а всё остальное это просто много путаных слов.

Аватар пользователя Остап
Остап(6 лет 7 месяцев)

В немецкоязычном письме стоит просто "атака хакеров" (Hackerangriff). Но бритам почему-то иначе написали.

Номера карт, конечно, тоже скорее всего спёрли. Я поэтому не разрешаю хранить ни паспортные данные, ни кредитку и каждый раз трачу время на вбивание номеров. Впрочем, это не избавляет от того, что они могут всё равно сохранить, а сука Амазон нагло сохраняет любую используемую кредитку не спрашивая. В идеале надо каждый раз генерить временную карту, например, через Яндекс деньги. Но у меня на постоянные карты капают мили-баллы и жадность пока побеждает осторожность :-)

Комментарий администрации:  
*** Уличен в сочинениях, что рубли печатают с той же скоростью, что баксы ***
Аватар пользователя Сударь
Сударь(5 лет 5 месяцев)

Номера карт, конечно, тоже скорее всего спёрли. Я поэтому не разрешаю хранить ни паспортные данные, ни кредитку и каждый раз трачу время на вбивание номеров. Впрочем, это не избавляет от того, что они могут всё равно сохранить

Я у них ничего не сохранял - стало быть сами, без моего ведома. Ещё, спам всякий шлют периодически, а линка, чтобы отписаться, нет.

Аватар пользователя просто пользователь

Непонятно только, зачем компания собирает данные о кредитных карточках пассажиров. Так же как и полные паспортные данные. Достаточно было бы собирать только номер паспорта и государство, его выдавшее. В таком объёме данные для любых хакеров стали бы бесполезными.

Аватар пользователя Александр Мичуринский

Понятно, что если каждая компания будет вести свою базу персональных даных, то утечки то ту, то там будут постоянно - воду решетом не наносишь.

Когда впервые стал подниматься вопрос о том, что персональные данные граждан должны храниться только на серверах внутри страны, предлагался  вариант, когда компании своих нужд хранят только хеши от данных. А сами данные хранятся в специально выделенных местах. Ну примерно как пароли - на сервере должен храниться не сам пароль, а хеш от него.

Аватар пользователя просто пользователь

Да, наше государство должно в итоге прийти к такому решению. Чтоб все персональные данные хранились в одном месте, и чтоб пользователь мог сам оперативно управлять и ограничивать доступ компаний к этим данным. И законодательно запретить всем не государственным организациям собирать и хранить персональные данные, а тем более передавать их третьим лицам.

Аватар пользователя Сударь
Сударь(5 лет 5 месяцев)

Непонятно только, зачем компания собирает данные о кредитных карточках пассажиров.

Типа для удобства клиентов, мол другой раз вводить данные не надо, время экономится. Этим привлекают покупать билеты у себя.

Аватар пользователя 2tvlad
2tvlad(3 года 5 месяцев)

"Но мой банк всегда требует авторизацию разовым пин-кодом по оплате картой."

Гы. Мечты, мечты. Авторизация вопрос не банка, а платежной системы. У меня тоже смс. Но есть банки, которые обходят сей вопрос и списывают просто по реквизитам. КАК?

Аватар пользователя Александр Мичуринский

Это - доверенные банки! У меня платёж по России как правило требует смс подтверждения. А  вот Адоб за свой фотошоп деньги списывает просто так, только смс приходят, что деньги ушли.

(первый год был бесплатен - бонус к очередному никоновскому объективу. Но при регистрации потребовали ввести номер валидной карты, с которой списали, а потом вернули какую-то копеечную сумму. А через год автоматом пошли списания...)

Аватар пользователя просто пользователь

И самое главное, даже в самом банке ничем не могут помочь в этом вопросе. Только советуют в таких случаях использовать виртуальную одноразовую карту.

Аватар пользователя Сударь
Сударь(5 лет 5 месяцев)

"Но мой банк всегда требует авторизацию разовым пин-кодом по оплате картой."

Гы. Мечты, мечты. Авторизация вопрос не банка, а платежной системы. У меня тоже смс. Но есть банки, которые обходят сей вопрос и списывают просто по реквизитам. КАК?

А чё - гы? Ввожу номер карты на сайте авиакомпании, а запрос передают на страницу банка. Там - авторизация разовым паролем, а после банк возвращает на их страницу.

Аватар пользователя 2tvlad
2tvlad(3 года 5 месяцев)

А того, что реквизиты карты вы вводите на странице НЕ банка. А на страницы компании. А дальше в зависимости от платежной системы, вас могут переслать на сайт банка, а могут и нет.

Например сайт лит-рес, не пересылает на страницу банка. 

Аватар пользователя Сударь
Сударь(5 лет 5 месяцев)

Например сайт лит-рес, не пересылает на страницу банка.

Я ж грю, что мой банк - пересылает. 

Аватар пользователя просто пользователь

Гы-Гы-Гы. Как выше отписали, есть компании, которые обходят этот механизм. Сам был очень сильно удивлён и огорчён этим фактом. Так, что даже обращался в банк с этим вопросом, почему от меня не потребовали подтверждения оплаты. В банке сказали, что это происходит с компаниями аффилированными с платёжными системами.

Надо было ещё карточку МИР проверить на эту "дыру".

Аватар пользователя Karbafoz
Karbafoz(2 года 9 месяцев)

В идеале, сайт компании при выборе оплаты картой должен перебрасывать (или открывать во фрейме) на payment gateway, где вы вводите номер карты и прочее, затем payment gateway общается с банком и в случае успешного платежа возвращает на сайт компании "payment success". Таким образом, компания вообще не должна работать с номерами карт.

Тем не менее да, некоторые компании сохраняют номера карт для "удобства" клиентов. Обычно, когда есть подписка на какие-либо услуги или же предполагается, что клиент еще что-то будет часто покупупать. Зачем это авиакомпании - не очень понимаю.

 

Аватар пользователя evg
evg(6 лет 10 месяцев)

Взломать можно любого,вопрос ресурсов(времени,людских и тд)

Аватар пользователя Александр Мичуринский

Скажем так, создать абсолютно стойкую систему ... намного проще, чем систему с нужным уровнем стойкости. В любой реальной системе оставлют для собственного удобства, по забывчивости и других самых разных нужд те или иные черные ходы и т. п.

Аватар пользователя Просто Владимир

Фигня полная. Такие письма из тюрем пишут.

Комментарий администрации:  
*** Отключен (возбужденная политота в ассортименте) ***
Аватар пользователя Сударь
Сударь(5 лет 5 месяцев)

Фигня полная. Такие письма из тюрем пишут.

О-ть... Зачем?? Там линков что-то подтвердить или заплатить - нет.

The Independent тоже из тюрьмы об этом вещает?

EasyJet has become the latest airline to fall victim to a sophisticated cyberattack.

Потрудитесь более не писать фигню в мои темы.

Аватар пользователя Просто Владимир

Я написал  что думаю по поводу вашей проблемы. И написал имея опыт работы с тюремными айтишниками. 

Ваше дело верить в инопланетян и честность авиакомпании. Но думаю уже все ваши данные откровенно спёрли. Так что примите меры безопасности. Меняйте все пароли, меняйте счета, меняйте данные доступа. Я бы и телефоны поменял (номера).

Но вы можете ничего не делать... я же фигню написал ))

 

Комментарий администрации:  
*** Отключен (возбужденная политота в ассортименте) ***
Аватар пользователя Сударь
Сударь(5 лет 5 месяцев)

Я написал  что думаю по поводу вашей проблемы. И написал имея опыт работы с тюремными айтишниками. 

Ваше дело верить в инопланетян и честность авиакомпании. Но думаю уже все ваши данные откровенно спёрли. Так что примите меры безопасности. Меняйте все пароли, меняйте счета, меняйте данные доступа. Я бы и телефоны поменял (номера).

Но вы можете ничего не делать... я же фигню написал ))

Вы написали "пишут из тюрьмы". В моём случае письмо было не из тюрьмы.

А что касается авиакомпании, это - другой вопрос.

Данные доступа - разовый пароль при оплате. Счёт они не видели. Телефон - таки да. Но его заполнять надо везде - так задолбаешься менять после каждой поездки, покупки...

Скрытый комментарий Повелитель Ботов (без обсуждения)
Аватар пользователя Повелитель Ботов

Перспективный чат детектед! Сим повелеваю - внести запись в реестр самых обсуждаемых за последние 4 часа.

Комментарий администрации:  
*** Это легальный, годный бот ***
Аватар пользователя user3120
user3120(6 лет 1 месяц)

Внутренние продажи[данных по даркнету] пошли вверх косяками. Если компания[и не одна такая] сокращает людей[высокой квалификации] пачками то что еще ожидать. Когда банковских служащих начнут сокращать и не такое всплывет.

Аватар пользователя Сударь
Сударь(5 лет 5 месяцев)

Внутренние продажи[данных по даркнету] пошли вверх косяками. Если компания[и не одна такая] сокращает людей[высокой квалификации] пачками то что еще ожидать. Когда банковских служащих начнут сокращать и не такое всплывет.

+

Пожалуй, один из самых актуальных комменатриев по теме...