新加坡航空公司的软件故障暴露客户数据
在新加坡航空公司的网站上进行了更改后出现的软件错误暴露了承运人Krisflyer频繁传单计划的280多名成员的个人数据。
新加坡Airlines将该事件描述为次闭孔,表示,该事件于2019年1月4日发生,当被分配的受影响的用户能够查看其他KrisFlyer成员的个人信息。
这包括乘客姓名,电子邮件地址和最近的航班,以及在某些情况下的护照细节。根据媒体报告,会员账户保持不变,没有收到信用卡信息。
新加坡航空公司已自愿向个人数据保护委员会(PDPC),新加坡数据保护看门狗的事件已自愿报告,并将跟进受影响的客户。它表示,它还采取了行动以防止发生类似事件。
Nabil Hannan在Synopsys管理软件完整性组主体,表示,在应用程序中的身份验证和授权方案没有良好的情况下,可能发生了事件。
“特别是在构建应用程序时,最有可能在设计身份验证时存在一些基本缺陷,以确定谁可以访问谁可以访问哪些数据,”汉南表示,添加了在应用程序中进行的更改可能导致显示一个客户的“水平特权升级”情况,显示了一个不同的客户私有信息。
汉南指出,可以轻松避免这些类型的错误,但这样做将需要各种安全相关的检查点整个软件开发生命周期。
“典型的QA [质量保证]测试只是不足以捕获这些类型的问题,因为我们知道大多数QA测试人员通常测试”快乐的路径“,并且在某些情况下,他们的自行决定执行边缘/边界测试用例”说。
最新的Blunder强调了亚太地区越来越多的数据泄露,可以追溯到软件错误,系统错误控制或网络犯罪分子的工作。
最近在Google+平台中找到的错误给出了第三方开发人员访问了500,000个帐户,其中包括用户的全名,出生日期,性别,概况照片,职业甚至他们居住的地方。
2017年11月,澳大利亚全国广播公司澳大利亚广播公司(ABC)无意中公开敏感数据,包括在亚马逊的S3云存储服务中举行的生产服务和股票文件的信息。
Blunder于2017年11月16日逐个Cyber Security Kromtech报告,该专家KromTech将数据泄漏归因于可以公开访问的至少两个MISCONPD S3存储桶。
泄漏的数据还包括数据库备份,以及ABC商业用户(包括媒体成员)使用的电子邮件地址,登录信息和哈希密码,以访问ABC的内容。
新加坡和澳大利亚均颁布了严格的个人数据保护规则。在新加坡,在个人数据保护法案下藐视这些规则的组织可以面临高达1万美元的经济处罚(736,900美元)。
PDPC在2018年澳大利亚类似举措之后,PDPC也在寻找新的强制性数据泄露通知制度。根据NordVPN,虚拟私人网络服务提供商,超过10亿人在2018年遭到了个人数据。