Portada
mis comunidades
otras secciones
#2:
Qué oportunidad perdida para un gran titular:
"EasyJet hackeada: los datos de 9 millones de usuarios han volado"
"EasyJet hackeada: los datos de 9 millones de usuarios han volado"
#11:
#6 Pues la GDPR deja claro que deben notificar en 72h
Art. 33. In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55 [...]
Art. 33. In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55 [...]
#1:
Hay excepciones pero, en general, con lo que invierten las empresas en seguridad, no me extraña.
#3:
¿Desde enero y lo hace público en mayo, diciendo que avisará a los clientes?
Comentarios
Qué oportunidad perdida para un gran titular:
"EasyJet hackeada: los datos de 9 millones de usuarios han volado"
#2 Matías Prats, eres tú?
#2 En estos tiempos incertidumbre, el que no corre vuela
#2 pondría la palabra gratis al final de tu titular.
#6 Pues la GDPR deja claro que deben notificar en 72h
Art. 33. In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55 [...]
#3 #11 Es que han podido comunicarlo a la Agencia de Protección de Datos pero no hacerlo público a la prensa para no entorpecer la investigación.
#12 También tienen que notificárselo a las personas afectadas, artículo 34, con la menor dilación.
When the personal data breach is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall communicate the personal data breach to the data subject without undue delay.
#24 Pues entonces ya no lo entiendo...
#27 #24 No preocuparse nadie, que EasyJet informará a todos a través de un correo electrónico que enviará a sus cuentas.
Ya lo veo:
Buenas días, estimado cliente:
Recientemente sufrimos el ataque en nuestros sistemas de proveedor al servicio y supimos que usted encuentra entre las pers诈骗onas afectados. Para comprobar la seguridad de los datos almacenados necesita enviar su primero nombre, último nombre y número de credit card a este correo con respuesta rápida. Gracias.
Atentamente,
Jenny Markle, directora de Atenciones al cliente.
#11 Tienen que informar a la autoridad supervisora competente... no a nosotros.
#21 Lee el artículo 34.
#47 No dice nada de 72 horas.
#49 No. Resumo. Artículo 33: avisar a las autoridades en un máximo de 72h. Artículo 34: aviso a usuarios afectados a la mayor brevedad.
#11 Como dice #6 le han encontrado la vulnerabilidad a esa ley. No tienen mas que contratar una investigación de la intrusión y pactar con la empresa de la investigación, cuando les daran los datos. Aunque sospechen que les han robado los datos pueden poner la escusa de que la empresa que han subcontratado para investigarlo no les han entregado las conclusiones o el informe final.
Hay excepciones pero, en general, con lo que invierten las empresas en seguridad, no me extraña.
#1 muchas veces no es lo que invierten, si no como lo invierten, la cyber seguridad en España es más un supermercado en el que comprar cuarto y mitad de firewalls/seguridad que realmente una estrategia para reducir los riesgos, por hacernos una idea, es común tener todo tipo de cacharrería, pero no actualizar nunca, usar passwords por defecto/triviales etc.
#8 Estoy de acuerdo, en ferretería todavía invierten algo pero en servicios, en gente que gestione esos equipos para que aporten valor, poco y mal.
#13 Es que un empleado se te puede ir, pero el hierro ™ nunca va a renunciar por mucho que lo ignores y lo trates mal.
#35 Ningún sistema de seguridad sin gente preparada detrás sirve para nada.
#37 A mí no me hace falta que me lo digas (trabajo en informática y soy muy consciente de todo el trabajo que hay en ciberseguridad y lo poco que se toma en serio). En todo caso explícaselo al jefecillo que piensa lo que pongo en mi anterior comentario.
#13 "Los ordenadores van bien, no sé para qué te tenemos aquí"
"Los ordenadores van mal, no sé para qué te tenemos aquí"
Y así con todo.
#1 Hay dos tipos de empresas las que han sido hackeadas y las que no saben que han sido hackeadas
¿Desde enero y lo hace público en mayo, diciendo que avisará a los clientes?
#3 Es por la investigación interna, parece: "EasyJet tuvo constancia del ataque desde el pasado enero de 2020, pero es ahora que ha podido hacerlo público, después de la investigación interna sobre el alcance de la intrusión."
No hay datos personales. Sólo correos electrónicos y los detalles del viaje realizado.
Cito:
«Entre los datos robados estaría la dirección de correo electrónico del usuario, además de los detalles del viaje que realizó con EasyJet; por lo tanto, es información que podría ser usada para engañar al usuario con ataques de phishing, enviar spam, o sonsacar más datos personales.»
Habría que ser muy cenutrio para guardar todo eso junto, y guardarlo en claro, sin hashing ni salt.
Errónea, porque no se trata de los datos de los usuarios. Son algunos datos. Aunque dependiendo de los detalles de los vuelos que almacenen tal vez puedan saber nombre y apellidos, hora de salida, llegada… y que agencias gubernamentales crucen los tiempos con cámaras de seguridad para sacar tu cara. Esta información se vende en la Dark web por algo.
#10 vas a guardar un hash del email?
#46
Bueh... no. Venía a decir que tendría que estar todo cifrado. Se puede tener cifrado con una clave que no dependa de la contraseña del usuario, que sea de la empresa. Tampoco sé si sería muy útil, porque si la clave está en memoria y el hack se hace mediante funciones propias del servicio web sin meter consultas a pelo, puede que no sirva de mucho. El sistema de la compañía utilizará las claves en algún momento. Vamos, que las tendrá en memoria. El tema es en qué abstracción o sistema se descifran los datos.
Lo del hash es sólo para las contraseñas.
En fin, un ejercicio de cuñadismo.
A ver si ahora los hackers devuelven el dinero de los vuelos
#4 No caerá esa breva. Si no, los que estaban con Vueling y otras iban ya a hacer fondo común para que los atacasen
Por estas cosas es mejor no guardar información de las tarjetas de crédito en ningún sitio.
la verdad que está gracioso eso de "Los
atacantes no habrían obtenido la información personal de los viajeros de EasyJet"
Porque acto seguido dicen: "Los casos más graves son los de 2.208 clientes de EasyJet, a los que les habrían robado los datos de la tarjeta de crédito"
yo diría que cobran por ser jaqueados.
pon un multazo por cada usuario jaqueado y no vuelven a jaquear ninguna empresa grande nunca más
EasyHack
Les va llover sobre mojado a esa aerolínea
Seguro que es un robo?
O podría ser que hubieran vendido los datos.
#18 Tratándose de Microsoft + Accenture puede ser una "feature".
Low cost hasta en ciberseguridad, qué podía salir mal?
#5 lowcost, pero en dos ocasiones que he tenido alguna "irregularidad" (fallecimiento de un familiar y la situación actual de coronavirus), ha sido la compañía que mejor y más rápido ha resuelto el entuerto.
#26 Estoy de acuerdo. De todas las low cost que conozco, es la que mejor me ha tratado y me ha devuelto dinero de un retraso, bastante rápido y sin complicaciones.
#36 Norwegian también hacía las cosas bien.
#48 Parece que sí, aunque yo nunca he necesitado ningún trámite extra con ellos.
(edit)
Hashear y salar detalles de viaje y correo electrónico no tiene sentido; los datos así tratados se pierden y no son recuperables (guardas un hash, un resumen, que puede ser generado por infinitas entradas diferentes, es una operación de un solo sentido).
Es útil para contraseñas y poco más, para cosas que quieres que comprobar que "encajan" pero que, de nuevo, son imposibles de recuperar (porque la información en sí misma no está ahí, sólo un resumen de longitud fija).
Es más de cenutrio hablar y criticar sobre seguridad informática sin entender lo más básico: pero vamos... nada nuevo por estos lares.
#c-29" class="content-link" style="color: rgb(227, 86, 20)" data-toggle="popover" data-popover-type="comment" data-popover-url="/tooltip/comment/3315019/order/29">#29 Se me olvidó decir que esto era para # 10, que se ve que me tiene en el ignore
Son datos de usuario. Sólo dirección de correo y nombres y apellidos, es mucho.
Cuando volé con ellos usé una tarjeta que di de baja posteriormente. De esa que me he librado.
Pero ya hay que tener poca vergüenza para no avisar antes.
Podian aprovechar que el pisuerga pasa por valladolid para decir que se han llevado la pasta y que por eso no estan devolviendo el dinero de los billetes.
Justo estaba intentando borrar mi cuenta la semana pasada. Mecagontó. Es imposible, estos hijos de puta lo hacen complicado para no devolverte tus datos...y ahora puede que los tenga un cualquiera
Saludos a todos los que, cuando la web os pregunta si queréis guardar los datos de la tarjeta, ponéis que sí por comodidad.
Casos contados jajajajaja
mira que yo no soy paranoico de la seguridad ni nada parecido, pero es que estoy viendo que una tarjeta virtual para comprar por internet es la auténtica salud... (es que hace poco volé con Easy Jet y no me gustaría cambiar de tarjeta de dineros)
#15 Positivo por la expresión "auténtica salud" que creo recordar que puso de moda un figurante en uno de los primeros y mas grande programa de callejeros.