Ένα hackathon που πραγματοποιήθηκε το 2017, είχε σαν αποτέλεσμα μία διαρροή δεδομένων της Flight Center, όταν οι αριθμοί διαβατηρίου και πιστωτικής κάρτας για 6918 πελάτες έμειναν κατά λάθος εκτεθειμένοι σε ένα σύνολο δεδομένων, που χρησιμοποιήθηκε από τους συμμετέχοντες του διαγωνισμού.
Όπως ανακοίνωσε η Αυστραλή Επίτροπος Πληροφοριών και Απορρήτου Angelene Falk, η Flight Center παραβίασε τις αυστραλιανές αρχές απορρήτου, με το να χρησιμοποιήσει δεδομένα για σκοπούς διαφορετικούς από τον λόγο που αρχικά συλλέχθηκαν.
Όταν η παραβίαση αναφέρθηκε για πρώτη φορά δεν υπήρξαν πολλές λεπτομέρειες.
Πλέον έχει αποκαλυφθεί, ότι η Flight Center διέρρευσε τα δεδομένα μέσω ενός «design jam» που διήρκεσε τρεις ημέρες τον Μάρτιο του 2017 «για τη δημιουργία τεχνολογικών λύσεων για ταξιδιωτικούς πράκτορες για την καλύτερη υποστήριξη των πελατών κατά τη διαδικασία πώλησης».
Ήταν η πρώτη φορά που η Flight Center διοργάνωσε ένα τέτοιο γεγονός και οι συμμετέχοντες δεν ήταν υποχρεωμένοι να υπογράψουν συμφωνία μη αποκάλυψης για να λάβουν μέρος.
Συνολικά 16 ομάδες συμμετείχαν στην εκδήλωση τύπου hackathon και τους δόθηκε πρόσβαση σε ένα σύνολο δεδομένων από το 2015 έως και το 2016.
Η Falk δήλωσε ότι η Flight Center εξέτασε “ένα κορυφαίο δείγμα 1000 σειρών για κάθε αρχείο δεδομένων στο σύνολο δεδομένων, για να διασφαλίσει ότι τα δεδομένα δεν περιείχαν προσωπικές πληροφορίες.”
Ωστόσο, την τελευταία ημέρα του “design jam”, ένας συμμετέχων εντόπισε πληροφορίες πιστωτικής κάρτας σε ένα “μη δομημένο πεδίο ελεύθερου κειμένου στα δεδομένα” και ειδοποίησε την εταιρεία.
Μετά από περαιτέρω εξέταση, η Flight Center είπε ότι το πεδίο «περιλάμβανε κατά λάθος λεπτομέρειες 4011 πιστωτικών καρτών και 5092 αριθμών διαβατηρίων για 6918 άτομα».
“Επιπλέον, αποκαλύφθηκαν 475 ονόματα χρήστη και κωδικοί και 757 σειρές που περιέχουν την ημερομηνία γέννησης των πελατών”, έγραψε η Επίτροπος.
Σύμφωνα με τις πληροφορίες, περίπου 6918 άτομα επηρεάστηκαν συνολικά από το περιστατικό, ενώ υπήρχαν 1012 πελάτες για τους οποίους η Flight Center δεν είχε επαρκή στοιχεία επικοινωνίας και έτσι δεν μπόρεσε να τους ειδοποιήσει.
Οι υπόλοιποι πελάτες που επηρεάστηκαν ενημερώθηκαν στις 7 Ιουλίου 2017.
Η Flight Center είπε ότι δεν υπάρχουν στοιχεία ότι τα δεδομένα χρησιμοποιήθηκαν για κατάχρηση. Επιβεβαίωσε με όλους τους συμμετέχοντες στο “design jam” ότι τα δεδομένα “καταστράφηκαν”.
Η εταιρεία είπε ότι σάρωσε τα συστήματα πληροφορικής της μετά το περιστατικό «για να εντοπίσει και να αφαιρέσει τυχόν άλλες περιπτώσεις λανθασμένης αποθήκευσης στοιχείων πιστωτικής κάρτας ή διαβατηρίου» και από τότε εκτελεί εβδομαδιαίες σαρώσεις.
Επίσης, βελτίωσε τα «συστήματα και το λογισμικό της για να διασφαλίσει ότι οι πληροφορίες πιστωτικών καρτών και οι πληροφορίες διαβατηρίου δεν μπορούν να αποθηκευτούν σε πεδία δεδομένων ελεύθερου κειμένου». Ένας τρίτος ειδικός πληροφοριών προσλήφθηκε, για την παρακολούθηση των social media και του dark web, για να διαπιστώσει εάν δημοσιεύθηκαν τα δεδομένα που διέρρευσαν σχετικά με τους πελάτες της και ενημέρωσε τις πολιτικές απορρήτου και διαχείρισης δεδομένων της.
Η Επίτροπος Falk είπε ότι η Flight Center δεν χρειάζεται να αποζημιώσει τα θύματα της παραβίασης, αν και είχε καταβάλει ήδη 68.500 $ σε έξοδα αντικατάστασης διαβατηρίου, καθώς και ένα άγνωστο ποσό για υπηρεσίες παρακολούθησης της πίστωσης για όσους επλήγησαν. Η εταιρεία επίσης δεν θα υποστεί περαιτέρω επιπτώσεις, με την Επίτροπο να λέει ότι είχε παράσχει ειλικρινείς απαντήσεις καθ ‘όλη τη διάρκεια των ερευνών και ότι δεν διεξήγαγε πλέον εκδηλώσεις «design jam».
