Следующая сентябрьская публикация прошла мимо нас, но содержащаяся в ней информация настолько хорошо демонстрирует проблемы в информационной безопасности у больших корпораций, имеющих дело с чувствительными данными, что мы не смогли пройти мимо.
Британская компания
Which?, более 60 лет специализирующаяся на тестировании продуктов и услуг, летом этого года провела большое
исследование с привлечением экспертов по инфосеку, в ходе которого оценила безопасность сайтов 98 компаний туристического сектора, среди которых были гостиничные сети, авиаперевозчики, сайты бронирования и пр.
Исследователи изучали не только основные сайты компаний, но и всю связанную с ними инфраструктуру - поддомены, служебные порталы, рекламные площадки и пр. В ходе изучения использовались исключительно общедоступные инструменты для тестирования.
На веб-сайтах гостиничной сети
Marriot, откуда в 2018 утекли данные 339 миллионов гостей, а в мае 2020 года - 5,2 миллионов клиентов, исследователи обнаружили 497 уязвимостей, 96 из которых были серьезными, а 18 - критичными.
Об обнаруженных ошибках было сообщено в
Marriot, однако представители компании сообщили, что у них нет оснований полагать, что их клиентские системы или данные были скомпрометированы (what?! через месяц после очередной утечки?!), но пообещали изучить информацию
Which?.
На 9 доменах авиакомпании
EasyJet, у которой в начале года утекли данные 9 миллионов клиентов, обнаружено 222 уязвимости, среди которых 2 критичные. После того, как сведения были переданы в
EasyJet, последние отключили 3 домена и устранили ошибки на 6 других сайтах. Но, как всегда, заявили при этом, что "не обнаружено никакой злонамеренной активности" и, вообще, никаких клиентских данных на этих ресурсах не хранится.
На ресурсах
British Airways, сведения о 500 тыс. клиентов которой, включая данные кредитных карт, были украдены в 2019 году, обнаружено 115 уязвимостей, 12 из них - критичные.
American Airlines - 291 уязвимость, из которых 7 критичные.
При этом, ранее на
Marriot и
British Airways за допущенные утечки клиентских данных регуляторами были наложены штрафы в сотни миллионов долларов. Правда неясно, выплатили ли они их, или договорились о реструктуризации.
То есть ни подорванная репутация, ни огромные штрафы не в состоянии заставить далекий от реалий сегодняшнего мира топ-менеджмент наладить нормальные процессы информационной безопасности. Хотя бы регулярно проводить аудит ИБ.
Хорошо быть тупым (с)
