Набор данных, предоставленный турагентством своим разработчикам во время хакатона, содержал номера кредитных карт клиентов.
https://www.securitylab.ru/upload/ib...281091ff8f.jpg
Компаниям, желающим организовать хакатон, следует отнестись к этому со всей серьезностью, чтобы не повторить печальный опыт австралийского туристического агентства Flight Centre. Как сообщает The Register, три года назад во время хакатона в компании произошла утечка данных, и случилось это по вине разработчика.
В марте 2017 года турагентство проводило мероприятие, так называемый «дизайн-джем», с целью «создания технологического решения для туристических агентов, способного улучшить поддержку клиентов в процессе продаж». В ходе хакатона 16 команд, насчитывающие в общей сложности 90 человек, получили доступ к 106 млн строк данных, содержащим 6 121 565 записей клиентов.
В Flight Centre были уверены, что подчистили предоставленный участникам хакатона набор данных, удалив чувствительную информацию и оставив только даты рождения и сведения о резервировании. Специалисты компании проверили в каждом файле 1 тыс. верхних строк, но, как оказалось, этого было недостаточно. Каждый файл содержал 28 млн строк, и когда участники хакатона стали изучать их подробно, то обнаружили в свободном текстовом поле номера кредитных карт.
Стоит отдать должное Flight Centre – в течение получаса после обнаружения утечки компания ограничила участникам «дизайн-джема» доступ к данным. Затем доступ был возобновлен, но свободное текстовое поле было уменьшено до десяти символов.
Согласно постановлению, вынесенному по данному инциденту австралийским комиссаром по информации Анджелин Фалк (Angelene Falk), причиной стали недостатки в дизайне текстового поля и злоупотребление этим полем.
Как оказалось, текстовое поле позволяло вносить такие данные, как номера кредитных карт и паспортов, несмотря на наличие правил, предписывающих работникам не использовать поле для таких целей. Похоже, некоторые сотрудники Flight Centre ему не следовали. В результате 0,025% записей, использовавшихся в ходе хакатона, содержали личную информацию клиентов компании.
Flight Center связалась с максимально возможным количеством затронутых утечкой клиентов, вызвалась заплатить за новые паспорта, провела мониторинг мошенничества с кредитными картами и в целом сделала все возможное, чтобы исправить ситуацию. В связи с этим компания отделалась лишь обязательством усилить безопасность своих баз данных и ужесточить политики.