Yangilandi: Aviakompaniya veb-saytlari sizning shaxsiy hayotingiz haqida qayg'urmaydi: Emirates.com saytidagi misol

Xotinimdan: tug'ilgan kuni notanish odamga ma'lummi yoki yo'qmi, deb so'radim. Agar ular menga tug'ilgan kuniga sovg'a yuborishsa, u hazillashdi. Pasport raqamingiz haqida nima deyish mumkin? U o‘qiyotgan kitobini tushirdi. Endi uning e'tiborini tortdim.

Endi buni tasavvur qiling, men dedim: "Siz parvozingiz uchun onlayn ro'yxatdan o'tishga harakat qilasiz va xato haqidagi xabarni ko'rasiz - Bu rezervasyon mavjud emas. Qayta urinib ko'ring, bu xato. Yo'q, xato xabari hali ham bir xil. Qo'ng'iroqlar markazining xodimi xuddi shu so'zlarni takrorlaydi. Bu xato bo'lishi kerak! Siz elektron pochtangizni tekshirasiz va u erda sizga qarab turadi - bekor qilinganligini elektron pochta orqali tasdiqlash. Ammo siz buni qilmaganingizga ishonchingiz komil. ”Kim ekan?

Bu "Ilmiy kitoblar" dan olingan taxminiy stsenariy emas, aslida shunday bo'ldi.

Birlamchi Raqamli Mahsulotga ega bo'lgan tashkilot, hatto ma'lumot xavfsizligi bo'yicha asosiy amaliyotga ham ega emas, utopiya dunyosida yashaydi, odamlar o'z xavfsiz joylarini ochiq qoldirishadi va hech qachon o'g'rilar kirishini kutishmaydi.

To'liq oshkor bo'lgandan keyin, o'tgan yili oilamga sayohat qilayotganda, men ma'lumotlar xavfsizligi himoyachisi sifatida meni juda xavotirga solgan bir nechta ma'lumotlar xavfsizligi amaliyotiga duch keldim. Men o'z tashvishlarimni Emirates jamoasiga bildirganimda, bu suhbat yuz berdi -

Amirlik yordami bilan suhbat.

Amirlik, ichki yoki xalqaro yo'nalish orqali reysingizni bron qilganingizda, siz bron qilish bilan bog'liq 300 ga yaqin ma'lumot punkti mavjud.

Safaringiz uchun joy yoki ovqatni tanlash yoki parvozga ro'yxatdan o'tish uchun boshqarish sozlamalarini bosganingizda, Sizning ID raqamingiz va familiyangiz Crazy tuxum, Boxever, Coremetrics, taxminan 14 ta boshqa izdoshlarga uzatiladi. Google va Facebook boshqalar qatorida.

Tafsilotlar

Amirliklarda bron qilishni tugatganimdan so'ng, elektron pochta orqali tasdiqlovni oldim: Buyurtmani tasdiqlash - Buyurtma raqami.

Buyurtmani tasdiqlovchi elektron pochta.

Elektron pochtada bronlashni boshqarish mavjud. Men "Rezervatsiyani boshqarish" tugmachasini bosib, joylar va ovqatlanish joylarini tanladim va "Afzalliklarni boshqarish" sahifasiga o'tdim. Bu juda to'g'ri edi.

E-pochtada bron qilish havolasini boshqarish.

Foydalanuvchi sifatida, men havolani bosish va "Afzalliklarni boshqarish" sahifasiga kirishning normal holatini ko'rdim, fonda qayta yo'naltirish zanjiri paydo bo'ldi.

Qayta yo'naltirish zanjiri ochilish sahifasiga etib borishdan oldin.

"Buyurtmani boshqarish" havolasi men uchun (foydalanuvchi va veb-sayt) eksklyuziv bo'lishi kerak edi, ammo bu havola ham Amirlik tomonidan o'z veb-saytlarida amalga oshirilgan ko'plab kuzatuvchilar bilan bo'lishildi.

Buyurtma sahifasini boshqarish.

Kekdagi gilos HTTP havolasi bo'lib, u afzal ko'rganlarni boshqarish sahifasiga olib keladi. HTTP-ning noaniqligi, ayniqsa tarkibning haqiqiyligini saqlash va suhbatdoshlardan himoya qilish haqida gap ketganda, qayta-qayta muhokama qilindi. Bir so'z bilan aytganda, HTTP havolalari ma'lumotlarning maxfiylik dahshatidir. Shunday qilib, Amirliklar foydalanuvchi ma'lumotlarini o'z-o'zini amalga oshiruvchi uchinchi tomon trekchilariga etkazish bilan bir qatorda, tarmoq dushmanlariga taxmin qilinayotgan "Xususiy" sahifaga kirishga imkon berishdi.

http://track.emirates.email/track/click/30705682/www.emirates.com?p=eMSwicCI6IntcInVcIjozM....(REDACTED)

Uchinchi shaxslar qanday ma'lumotlarga kirishlari mumkin?

Hozirgi vaqtda (1) va (2) havolalar uchinchi tomonga yuborilmoqda.

Quyidagi maydonlarda buyurtma ma'lumotlariga kirish huquqini beradigan URL manzili joylashgan.

Shaxsiy urlni o'z ichiga olgan maydonlar.Google Analytics tomonidan ishlatiladigan

Ushbu havolalarga kirish huquqiga ega bo'lgan har kim men foydalana oladigan ma'lumotni nafaqat o'qishi, balki tahrir qilishi mumkin.

Masalan, ular hozir mumkin -

  1. Parvozni o'zgartiring yoki bekor qiling
  2. Kreslo yoki ovqatlanish joyini o'zgartiring
  3. Buyurtmaga ko'proq mahsulot qo'shing
  4. Pasport ma'lumotlarini o'zgartiring yoki qo'shing
  5. Tez-tez uchadigan ma'lumotni o'zgartiring yoki qo'shing, va hokazo.
Buyurtmani o'zgartirish.

Ushbu sahifada tahrirlanadigan shaxsiy ma'lumotlar ko'rgazmasi:

a. To'liq ismi sharif:

Ism.

b. Skywards raqami

Skywards raqami

v. Email ID / telefon raqami:

Shaxsiy ma'lumotlarni o'qish / o'zgartirish

d. To'langan summa, yo'l haqini to'lash.

To'langan summa, to'lov shakli, yo'l haqi.

e. Pasport ma'lumotlari, millati, tug'ilgan sanasi, jinsi

Pasport ma'lumotlari, DOB, muddati, jinsi, millati.

Eslatma: 2017 yil oktyabr oyida Pasport raqami, elektron pochta identifikatori va telefon raqami kabi maydonlar foydalanuvchi interfeysida niqoblanganligi ko'rsatildi, ammo manba kodida obus qilinmadi. O'shandan beri veb-dastur yangilandi va ushbu maydonlar endi obusfed.

Oddiy matndagi niqoblangan maydonlar. (2017 yil oktyabr)

Men mobil ilovani sinchkovlik bilan o'rganishga qaror qildim va o'tmish bugungi kun bilan mos keladimi-yo'qmi, shuni ko'rdimki, bu erda u to'liq shon-sharafda - pasport raqami, elektron pochta identifikatori va telefon raqami oddiy matnda. Veb-ilovada nimani bila turib, mobil ilova orqali kirish oson edi.

Pasport ma'lumotlari mobil API-da oddiy matnda.

Endi nima yomon?

Bu masala nafaqat Amirliklar bilan cheklanib qolmoqda, balki Lufthansa, KLM kabi ko'plab aviakompaniyalar (oxirgi marta 2017 yil oktyabrda tekshirilgan) xuddi shu muammolardan aziyat chekmoqda.

Har bir veb-sayt o'z mahsulotlarini yaxshilash uchun uchinchi tomon izlovchilaridan foydalanadi va veb-foydalanish tajribasini yaxshiroq taqdim etadi. Ma'lumotlarning etishmasligi ko'pincha garovga qo'yilgan zarar deb hisoblanadi va ba'zida bunday kuzatuvchilardan foydalanish paytida umuman hisobga olinmaydi.

Ushbu uchinchi tomonlarning aksariyati ko'plab boshqa veb-saytlarda mavjud va foydalanuvchilarni domenlarni kuzatish uchun cookie fayllari kabi uzoq muddatli identifikatorlardan foydalanadilar. Endi veb-saytlardan birida, bu holda Amirliklarda, shaxsiy ma'lumotlar tarqalib ketganligi sababli, ushbu kompaniyalar nafaqat foydalanuvchilarning faolligini Internetda bog'lashlari, balki foydalanuvchi kimligini aniqlashlari mumkin.

Amirliklar (va boshqalar) tomonidan javob berilishi kerak bo'lgan savollar -

  1. Nima uchun mening buyurtma haqidagi ma'lumotlar mening roziligimsiz uchinchi shaxslarga berildi.
  2. Nima uchun uchinchi tomon ushbu ma'lumotni olishi kerak?
  3. Amirliklar hatto foydalanuvchi haqidagi maxfiy ma'lumotlar ushbu uchinchi tomonga tarqatilayotganligidan xabardormi?
  4. Bu uchinchi shaxslar kimlar?
  5. Ular foydalanuvchi ma'lumotlari bilan nima qilmoqdalar?

Bu haqda Amirliklarga xabar berish

Mas'uliyatli xatti-harakatlardan so'ng, foydalanuvchi ma'lumotlarining maxfiyligini buzadigan ushbu jiddiy xavfsizlik kamchiliklarini aniqlab, men ularni 2017 yil oktyabr oyida Twitter DM orqali Amirliklarga e'lon qilishga qaror qildim. Shuni esda tutingki, Amirliklarda xavfsizlik xatolari haqida xabar beradigan maxsus kanal topolmadim. veb-sayti.

Ijtimoiy media jamoasi darhol mening Twitter DM-ga konservalangan javob bilan javob berishdi, ammo men umidimni yo'qotishga tayyor emas edim. Xavfsizlik kamchiliklari haqida mahsulot menejeriga elektron pochta orqali xat yozdim. Meni jimgina kutib olishdi.

Bugungi kunga kelib (2018-03-03) ushbu muammolarning ko'pi hanuzgacha saqlanib qolmoqda.

Bu shaxsiy hayotning jiddiy buzilishi, butun bronlash jarayonida hech qanday ma'no yo'q, men ushbu shaxsiy ma'lumotlarning har qandayini ushbu veb-saytlar bilan bo'lishishga rozi bo'ldim.

Amirliklarning maxfiylik siyosati unchalik aniq emas. Unda ushbu xizmatlarning ba'zilari eslatib o'tilgan, ammo ularning hammasi yoki ular bilan qanday ma'lumotlar bo'lish mumkin emas.

Men rad qilolmaymanmi?

Variant emas. Afsuski, Emirates tomonidan taqdim etilgan ushbu tizimdan voz kechish uchun yo'l topolmadim. Men nihoyat maxfiylikni saqlaydigan brauzer kengaytmalaridan foydalanishga qaytishim kerak edi.

Buni Amirliklar hal qilolmaydimi?

Ba'zi yirik elektron tijorat kompaniyalarida ishlagan dastur muhandisi sifatida, men nafaqat Raqamli Mahsulotni, balki foydalanuvchilarning mahsulot bilan qanday munosabatda bo'lishini optimallashtirish va takomillashtirish uchun uchinchi tomon xizmatlaridan foydalanish zarurligini tushunaman.

Bu erda uchinchi tomon xizmatlaridan foydalanish emas, balki bu xizmatlarning amalga oshirilishida tashvish tug'diradi. Amirliklar o'z veb-saytlarini va ushbu veb-sayt uchinchi tomon xizmatlari bilan ulashadigan narsalarni boshqarish huquqiga ega. Aynan ushbu boshqarish vositasi foydalanuvchi ma'lumotlari tarqalishini cheklash uchun foydalanilishi kerak.

Bu mamontning vazifasi emas, bu shaxsiy hayotga bo'lgan asosiy huquqni saqlash majburiyati.

Masalan:

  1. Shaxsiy sahifalarda noindex meta teglari bo'lishi kerak.
  2. Shaxsiy sahifalarda uchinchi tomon xizmatlarining mavjudligini cheklash.
  3. Maxfiy ma'lumotlarga ega sahifalarda yo'naltirish-siyosat.
  4. CSP va SRIni amalga oshiring. Uchinchi tomon xizmatlari CSP-ning katta iziga ega bo'lsa ham, SRI Emirates.com-da yoqilmagan
  5. Pasport, aloqa ma'lumotlari va hokazo kabi nozik ma'lumotlar yangilangan, tahrirlangan yoki yo'q qilinganda foydalanuvchini xabardor qilish kerak.
  6. Elektron pochta xabarlarini yuborish uchun domen: track.emirates.email, haqiqiy sertifikatga ega bo'lishi kerak. https://track.emirates.email/

Agar siz o'zingizning sevimli veb-saytlaringizda treklar borligi haqida ko'proq ma'lumotga ega bo'lishni istasangiz, WhoTracksMe-ni tekshirishni maslahat beraman.

Yangilanishlar:

- 2018 yil 6 mart:

Amirliklar standart bayonot bilan javob berishdi.

Parcha: "Janob Modining maqolasida ma'lumotlar qanday taqsimlanganligi yoki" rad etish "da mijozlar tanlovi noto'g'ri ko'rsatilgan."

Mening javobim: Maxfiylik bo'yicha uchib ketish: Emirates.com rad etilgan

Baxtli Hack!

- Konark Modi

O'qish va almashish uchun rahmat! :)

Agar sizga ushbu hikoya yoqsa, bir necha marta bepul (50 martagacha, jiddiy).

Kreditlar: Remi, Pallaviga ushbu maqolani ko'rib chiqqaningiz uchun tashakkur.