Mais um dia, e mais um novo data breach. Depois da Adidas, Panera Bread , e mais recentemente (ontem aqui publicado) a Atlas Quantum, agora é a vez da Air Canada sofreu uma violção de dados e expor mais de 20 mil dados dos utilizadores através de uma falha na sua aplicação móvel.
A violação de dados do dia é a sofrida pela Air Canada, que pode ter afetado 20.000 clientes (1%) de seus 1,7 milhão de utilizadores da aplicação móvel.
A notícia foi confirmada pela Air Canada que revelou ter detectado um comportamento de login incomum com o a aplicação móvel da Air Canada entre 22 e 24 de agosto de 2018, acrescentou que os dados financeiros foram protegidos, mas convidados a permanecer vigilantes para transações fraudulentas com cartão de crédito.
“We detected unusual login behaviour with Air Canada’s mobile App between Aug. 22-24, 2018. We immediately took action to block these attempts and implemented additional protocols to protect against further unauthorized attempts. As an additional security precaution, we have locked all Air Canada mobile App accounts to protect our customers’ data.” reads the data breach notification.
“Your credit card information is protected. Credit cards that are saved to your profile are encrypted and stored in compliance with security standards set by the payment card industry or PCI standards. As a best practice, customers should always monitor their transactions and credit rating carefully and contact their financial services provider immediately if they become aware of any unusual or unauthorized activities.”
A empresa pediu que os utilizadores da app redefinissem as suas contas como medida de segurança. A Air Canada contatou clientes potencialmente afetados por e-mail para notificar a violação de dados.
O aspecto mais desconcertante da violação de dados da Air Canada é que os invasores podem ter acedido a dados sensíveis, incluindo número do passaporte do cliente, data de expiração do passaporte, país de emissão do passaporte e país de residência, número do Aeroplan, número de viajante conhecido, número NEXUS, sexo, data de nascimento e nacionalidade.
Todos estes dados pessoais foram carregados e depois guardaros na área pessoal da app. Todos eles foram introduzidos pelos clientes que os vêm agora expostos.
No momento ainda não está claro a causa raiz da violação de dados da Air Canada, a empresa pede aos utilizadores para redefinirem as suas passwords.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.