Une étude révèle que les principales agences de voyage ont encore du mal à protéger vos données

2024 Auteur: Cyrus Reynolds | [email protected]. Dernière modifié: 2024-02-07 22:30

Lorsque vous réservez un voyage en ligne, pensez à toutes les données personnelles que vous partagez: votre adresse, les informations de votre passeport et, bien sûr, les informations de votre carte de crédit. Si vous réservez via une grande compagnie aérienne ou une grande chaîne hôtelière, vous supposez probablement que vos informations sont sûres et sécurisées. Cependant, un rapport récent de Which? montre que de nombreux grands noms des secteurs du voyage et de l'hôtellerie continuent de lutter pour assurer la sécurité des données des clients.

L'enquête, menée en juin 2020 en collaboration avec la société de sécurité 6point6, souligne que les sites Web de 98 agences de voyage différentes contiennent des centaines de vulnérabilités qui pourraient être exploitées par un tiers. Les entreprises vont des chaînes hôtelières aux compagnies aériennes, en passant par les voyagistes et les croisiéristes.

Parmi les pires contrevenants figurent British Airways, Marriott et easyJet, trois entreprises qui ont déjà été la cible de violations de données, entraînant la fuite des informations personnelles de près de 350 millions de clients.

"Malheureusement, ces types d'atteintes à la sécurité sont extrêmement courants. C'est troublant, car ces entreprises conservent des informations client sensibles telles que les noms, adresses, adresses e-mail et informations de paiement des utilisateurs. Par conséquent, si les données sont exposées, elles pourraient êtrerendant leurs clients plus vulnérables au vol d'identité, ce qui pourrait entraîner des pertes financières ", a déclaré Gabe Turner, expert en cybersécurité et rédacteur en chef du site Web de sécurité numérique Security.org à TripSavvy. "Les entreprises doivent investir davantage dans la sécurité numérique, surtout si elles gèrent les informations personnellement identifiables des clients."

Lequel ? a également constaté qu'une grande partie des données de voyage volées étaient disponibles sur le dark web, trouvant que 7,2 Go de données provenant du site de réservation de voyages ixigo pouvaient être achetées pour 262 $. Ces informations comprenaient des noms, des adresses, des mots de passe, des numéros de passeport et d'autres informations sensibles.

L'étude de Which ? a examiné tous les domaines et sous-domaines connexes du site Web principal de l'entreprise concernée, y compris les portails de connexion des employés, pour trouver des opportunités dans lesquelles les pirates pourraient accéder à des informations sensibles. Lors de la réalisation de l'étude, les enquêteurs n'ont pas utilisé de méthodes de piratage complexes, mais plutôt des outils légalement disponibles et accessibles à tous.

Pourtant, certaines des entreprises citées dans le rapport insistent sur le fait que leurs mesures de cybersécurité sont adéquates. "Nous prenons très au sérieux la protection des données de nos clients et continuons d'investir massivement dans la cybersécurité", a déclaré Catherine Wilson, porte-parole de British Airways, à TripSavvy. "Nous avons mis en place plusieurs couches de protection et sommes convaincus que nous avons les bons contrôles pour atténuer les vulnérabilités identifiées. Ces contrôles ne sont souvent pas détectés dans les analyses externes grossières."

British Airways a été la cible d'une cyberattaque en 2018 enoù les noms, adresses e-mail et informations de carte de crédit de près de 500 000 clients ont été volés. En réponse, l'ICO a proposé une amende de 230 millions de dollars, la plus grosse amende jamais imposée par le règlement général sur la protection des données. Qui? L'étude de British Airways a révélé 115 vulnérabilités potentielles, dont 12 ont été jugées "critiques", sur le site Web de British Airways. Il a également trouvé 497 vulnérabilités stupéfiantes sur le site Web de Marriott et 222 vulnérabilités dans les neuf domaines d'easyJet. Même les entreprises qui n'ont pas encore connu de violation de données très médiatisée, comme American Airlines, basée à Fort Worth, au Texas, se sont avérées vulnérables.

L'étude conclut que les trois entreprises, entre autres, "n'ont pas tiré les leçons des violations de données précédentes et exposent leurs clients aux cybercriminels opportunistes", a écrit Rory Boland, Which ? Editeur de voyages. "Les agences de voyages doivent améliorer leur jeu et mieux protéger leurs clients contre les cybermenaces."