I siti Web delle compagnie aeree non si preoccupano del tuo follow-up sulla privacy: Emirates risponde al mio articolo con un rifiuto totale

Ieri, The Register ha scritto della mia esposizione sui problemi di privacy dei siti Web delle compagnie aeree.

Venerdì scorso, quando ho pubblicato il mio articolo originale, Emirates non ha risposto alla mia richiesta di commenti. Ma Emirates ha risposto a The Register, con la seguente dichiarazione:

Commento di Emirates su theregister.co.uk

La loro affermazione non è solo vaga, ma è effettivamente errata. E sento che è mio dovere professionale chiamarli per questo.

Un'analisi della loro affermazione e di come la loro logica si rompe quando ci pensi davvero

Numero 1

First Emirates afferma: "Possiamo confermare che nessuna delle vulnerabilità di sicurezza evidenziate consentirà una violazione (accesso non autorizzato) dei dati personali sul nostro sito Web o sulla nostra app mobile".

In che modo Emirates definisce la violazione? Bene, Wikipedia definisce una violazione dei dati come questa:

"Una violazione dei dati è un incidente di sicurezza in cui i dati sensibili, protetti o riservati vengono copiati, trasmessi, visualizzati, rubati o utilizzati da una persona non autorizzata a farlo."

Nella sua Informativa sulla privacy, Emirates sottolinea l'importanza di salvaguardare le informazioni di riferimento della prenotazione:

Informativa sulla privacy che evidenzia i rischi della condivisione del numero di riferimento della prenotazione.

Aggiornamento 8 marzo 2018: un'altra mostra di come Emirates sembra aver dimenticato di prestare attenzione ai propri consigli "mantenere sicuro il tuo riferimento di prenotazione" e lo sta ancora inviando a Google Analytics dall'app mobile, tramite il tasto: cd8 (non mascherato). Ho mascherato i campi nella foto per garantire la privacy.

Invio di PNR tramite il campo cd8 a Google Analytics.

Per eventuali modifiche a una prenotazione esistente, sono richiesti solo un numero di riferimento e un cognome di prenotazione. Non è necessario verificare chi ha inizialmente effettuato la prenotazione e se la persona che effettua le modifiche è autorizzata a farlo o meno.

Emirates.com e la versione dell'app per dispositivi mobili Emirates (6.1.0) consentono entrambi l'accesso alla sezione Gestisci prenotazione basata solo su questi due punti dati. Questa è una pratica standard tra le compagnie aeree e non è questo il punto di contesa ai fini di questo articolo.

Ma questo è quando diventa preoccupante

A partire dal 6 marzo 2018, il numero di riferimento della prenotazione e il cognome, tra molti altri punti dati, vengono ancora inviati alle terze parti implementate. Crazy Egg, Boxever, Coremetrics necessita del numero di riferimento della prenotazione e del cognome per mostrare la mappa di calore della pagina? Io non la penso così.

Questa è l'area problematica: trasmettere le informazioni personali dell'utente a terzi che non hanno assolutamente bisogno di tali informazioni per rendere i loro servizi a Emirates "allo scopo di migliorare l'esperienza di navigazione online".

L'importanza dell'utilizzo dei collegamenti HTTPS è stata dimostrata più volte da chiunque sia chiunque nel campo della tecnologia. I collegamenti HTTP non sono solo vulnerabili agli attacchi Man-In-The-Middle ma possono anche subire l'iniezione di dati dannosi.

Non sono sicuro di quanto Emirates sia abbastanza sicuro di "confermare che nessuna delle vulnerabilità di sicurezza evidenziate nell'articolo (Mr. Modi's) consentirà una violazione (accesso non autorizzato) dei dati personali sul nostro sito Web o app mobile" quando track.emirates.email non ha ancora alcun SSL. Come intendono evitare gli attacchi Man-in-the-Middle?

Numero 2

Emirates afferma: "Mentre utilizziamo numerosi strumenti analitici di terze parti sui nostri siti allo scopo di migliorare l'esperienza di navigazione online, rivediamo continuamente il modo in cui questi vengono implementati".

Ho condiviso nell'articolo in che modo le informazioni di Passport e i dettagli di contatto erano precedentemente non offuscati sia sul sito Web che sull'app mobile. Mentre il sito Web è stato risolto quando ho controllato lo scorso febbraio 2018, l'app per dispositivi mobili continua a essere problematica in questo settore. Ciò può accadere solo quando mancano le comunicazioni tra il sito Web e il team di sviluppo mobile o se non "riesaminano continuamente l'implementazione" in tutti i prodotti.

Un'altra domanda a cui si chiede una risposta è quali sono i parametri per rivedere l'implementazione di terze parti. A meno che il mandato non sia strettamente quello di NON divulgare alcun tipo di informazione dell'utente, le recensioni potrebbero riguardare qualsiasi cosa e non avrebbero il minimo impatto sulla sicurezza e la vulnerabilità delle informazioni dell'utente che vengono trasmesse liberamente a terzi.

L'ultima volta che questo problema è stato messo in evidenza a Emirates è stato nell'ottobre 2017. Nei 5 mesi trascorsi da allora, questi problemi non sono stati rilevati dal team di revisione. Forse non sono così "continui" come afferma Emirates.

Numero 3

Emirates afferma: "I clienti possono scoprire di più su come utilizziamo i dati personali e su come possono recedere leggendo la nostra politica sulla privacy su emirates.com"

Terze parti elencate nella pagina Informativa sulla privacy.Di terze parti effettivamente presenti.

Dopo un'attenta revisione della politica sulla privacy e sui cookie di Emirates, questi sono i punti da notare:

1. Non elenca TUTTE le terze parti implementate e le informazioni condivise con loro. Terze parti come Boxever, ads-twitter.com, Coremetrics, Imigix, bing e molti altri che avevo aggregato dal loro sito Web non sono nemmeno menzionati nella loro Informativa sulla privacy.

2. Le opzioni di opt-out disponibili menzionano solo le modalità di utilizzo dei cookie, YourOnlineChoices. Ciò significa che non solo le informazioni fornite nell'Informativa sulla privacy sono incomplete, ma non condividono alcuna opzione per la rinuncia ai servizi CrazyEgg, BoxEver, Coremetrics ecc. Il processo è noioso e ingombrante.

3. L'opzione di rinuncia è parziale in base al paese di residenza degli utenti. Se risiedi in Europa, puoi utilizzare questo link per annullare l'iscrizione. Se risiedi negli Stati Uniti, questo è il link per annullare l'iscrizione. Ma se sei residente in qualsiasi altra regione, mi dispiace dirti che sei stato modificato.

4. La disattivazione dei cookie non avrà alcun impatto sulle perdite di dati evidenziate nell'articolo perché il referrer non viene pulito. Chiunque abbia una conoscenza tecnica di base può confermarlo.

In breve

Anche se l'utente riesce in qualche modo a rinunciare a tutti i tracker utilizzando i metodi elencati e non elencati, Emirates perderà comunque il riferimento di prenotazione e il cognome che è sufficiente per accedere a tutte le altre informazioni sensibili a causa dell'implementazione di questi servizi di terze parti su Emirates.com è difettoso.

Emirates deve capire che, una volta che le informazioni sono state condivise con terze parti, c'è molto poco che possono fare per controllare come vengono utilizzate o potrebbero essere utilizzate in futuro, come hanno già menzionato nella loro politica sulla privacy.

È una cosa per Emirates pensare che questi problemi non siano abbastanza critici per poter intraprendere le azioni necessarie per risolverli. È del tutto diverso affermare che le informazioni condivise nell'articolo sono "non vere".

Spero che risolvano questi problemi prima piuttosto che dopo.

Happy Hacking!

- Konark Modi

Grazie per aver letto e condiviso ! :)

Se ti è piaciuta questa storia, sentiti libero alcune volte (fino a 50 volte. Seriamente).

Riconoscimenti: un ringraziamento speciale a Remi, Pallavi per aver recensito anche questo post :)