OAIC는 Flight Center가 2017년에 약 7,000명의 고객의 개인정보를 침해한 사실을 발견했습니다.

  • Sep 06, 2023

600만 명의 고객에 대한 생산 데이터를 전달하고 잘못된 난독화 프로세스를 수행하는 것은 항상 나쁜 결과로 이어질 것입니다.

비행기로 여행.jpg

호주 정보 커미셔너 및 개인정보 보호 커미셔너 Angelene Falk는 Flight에 대해 다음과 같은 결정을 내렸습니다. 센터는 지난 3월 24일부터 26일까지 주말 동안 '디자인 잼' 행사를 진행해 고객 6,918명의 개인정보를 침해했다. 2017.

행사 첫날, Flight Center에서는 생산 데이터가 포함된 데이터 세트를 건네주었습니다. 2015년과 2016년에는 16개 팀이 참가하며 90명으로 구성된 이번 대회에는 총.

보다: 한 번에 하나의 버그로 웹을 보호하여 수백만 달러를 벌어들이는 해커를 만나보세요(표지 기사 PDF) (테크리퍼블릭)

데이터 세트에는 1억 600만 행의 데이터가 포함되어 있었으며 회사는 개인 정보를 난독화했다고 믿었습니다. 고객의 정보는 고객의 생년월일, 우편번호, 성별, 예약만 남겨두고 정보. 에서 결정 Falk가 만든 Flight Center에는 비즈니스 인텔리전스 팀과 호주 정보 보안 팀이 있었고 이벤트도 있었습니다. 코디네이터는 데이터의 처음 1,000개 행을 검토하여 데이터에 민감한 정보가 없는지 확인합니다. 파일.

그러나 이벤트가 시작된 지 36시간 후에 참가자 중 한 명이 "ProductName"이라는 열 아래의 자유 텍스트 필드에 신용카드 정보가 포함되어 있는 것을 발견했습니다.

그런 다음 Flight Center는 파일을 검토한 결과 6,918명에게 영향을 미치는 4,011개의 신용 카드와 5,092개의 여권 번호, 그리고 대부분 공급업체 포털에 대한 475개의 사용자 이름과 비밀번호가 포함되어 있음을 발견했습니다. 757명의 생년월일도 확인됐다.

침해 사실을 인지한 회사는 해당 파일에 대한 접근을 차단하고 해당 열을 10자로 잘라냈습니다. 참가자들로부터 파일의 모든 사본을 파기했다는 구두 확인을 받고 사후 조치를 시작했습니다. 검토. 결제 정보나 여권 정보가 유출된 경우 회사에서 이를 통보하고 무료로 신분 도용을 제공하며 1년 동안 신용 모니터링을 제공하고 고객이 선택하면 Flight Center에서 여권 교체 비용을 지불합니다. 그것을 위해.

Falk는 Flight Center가 침입과 관련이 없기 때문에 위험도가 낮은 사고라고 판단했다고 말했습니다. 사건은 악의적이지 않았고, 알려진 수의 제3자가 데이터에 접근할 수 있었으며, 어떤 증거도 없었습니다. 오용.

침해의 핵심은 여행 컨설턴트의 진입을 막는 기술적 통제가 없는 Flight Center였습니다. 회사 정책을 준수하는 것 이외의 자유 텍스트 필드에 여권 정보 및 신용 카드 정보를 입력하는 경우 Falk 썼다.

"그러한 잘못된 저장을 방지하거나 감지하기 위한 기술적 통제가 없기 때문에 고유한 데이터 보안 위험이 발생했습니다. 데이터 유출 직전에 피고인이 이러한 종류의 개인정보를 어떻게 보호했는지에 대해 설명했습니다." Falk 말했다.

사고 당시 Flight Center는 일부 시스템에서 신용 카드 정보의 부적절한 저장을 탐지할 수 있었지만 견적, 송장 발행 또는 영수증 시스템에서는 탐지할 수 없었습니다. 이제 회사는 자유 텍스트 필드의 결제 및 여권 정보 저장을 매주 검사합니다.

Falk는 또한 회사가 첫 번째 행사에서 그렇게 큰 데이터 세트를 넘겨주고 참가자들에게 계약서 서명을 요구하지 않는다고 비판했습니다.

"이번 결정은 조직이 개인 정보 보호와 관련된 새로운 프로젝트에 개인 정보 보호를 설계해야 한다는 점을 강력히 상기시켜 줍니다. 특히 대규모 데이터 세트가 분석을 위해 제3자 공급업체와 공유되는 경우 정보 처리가 필요합니다."라고 Falk는 말했습니다. 월요일.

"조직은 공급업체에 대한 개인 정보의 부주의한 공개와 같은 인적 오류가 발생할 수 있다고 가정하고 이를 방지하기 위한 조치를 취해야 합니다.

"또한 모든 관련 개인 정보 보호 영향을 식별하고 해결하는 데 도움이 되도록 데이터 프로젝트에 대한 개인 정보 보호 영향 평가를 수행해야 합니다."

회사의 신속한 대응으로 인해 사전에 개인에게 통보합니다. 신고 가능한 데이터 위반 계획 이러한 영향을 미치는 다양한 서비스를 제공하고, 세부 사항이 오용되었는지 확인하기 위해 다크 웹 모니터링 비용을 지불하고, 솔직하게 그녀의 사무실과 거래할 때 Falk는 Flight Center가 해당 조치를 반복하지 않는다고 선언하는 것 외에 추가 조치를 취하는 것은 적절하지 않다고 말했습니다.

관련 보도

  • Vertafore 데이터 유출로 인해 노출된 2,770만 명의 텍사스 운전자 정보
  • 랜섬웨어 공격 이후 Garmin 서비스 및 생산 중단
  • 대부분의 Android 악성코드의 주요 배포 경로로 확인된 Play 스토어
  • Windows 10, iOS, Chrome 등 다수가 중국 최대 해킹 대회에서 탈락
  • Data#3은 신고할 수 없는 사이버 사고를 당했다고 말합니다.
  • 디지털 허위정보 시대에 정보기관 구조조정이 필요한가?