TRAVEL NEWSSAFETY and INSURANCE

Une étude révèle que les principales entreprises de voyages ont encore du mal à protéger vos données

British Airways, Marriott, EasyJet et d'autres ont été nommés dans le rapport, qui a évalué les sites Web de 98 agences de voyages différentes.

Lorsque vous réservez un voyage en ligne, pensez à toutes les données personnelles que vous partagez, votre adresse, les informations de votre passeport et, bien entendu, les informations de votre carte de crédit. Si vous réservez via une grande compagnie aérienne ou une chaîne hôtelière, vous supposez probablement que vos informations sont sûres et sécurisées. Cependant, un récent rapport de Which? montre que de nombreux grands noms des secteurs du voyage et de l'hôtellerie continuent de lutter pour protéger les données des clients.

L'enquête, menée en juin 2020 en collaboration avec la société de sécurité 6point6, souligne que les sites Web de 98 agences de voyages différentes contiennent des centaines de vulnérabilités qui pourraient être exploitées par un tiers. Les entreprises vont des chaînes hôtelières et des compagnies aériennes aux voyagistes et compagnies de croisière.

Parmi les pires contrevenants figuraient British Airways, Marriott et easyJet, trois sociétés qui ont déjà été la cible de violations de données, entraînant la fuite des informations personnelles de près de 350 millions de clients.

"Malheureusement, ces types de failles de sécurité sont incroyablement courants. C'est troublant car ces entreprises conservent des informations sensibles sur leurs clients, telles que les noms, adresses, adresses e-mail et informations de paiement des utilisateurs. Par conséquent, si les données sont exposées, elles pourraient rendre leurs clients plus susceptible de vol d'identité, ce qui pourrait entraîner des pertes financières », a déclaré à Travel-huh Gabe Turner, expert en cybersécurité et rédacteur en chef du site Web de sécurité numérique Security.org. « Les entreprises doivent investir davantage dans la sécurité numérique, en particulier si elles traitent les informations personnellement identifiables des clients. »

Lequel? a également découvert qu'une grande partie des données de voyage volées étaient disponibles sur le dark web, trouvant 7,2 Go de données sur le site de réservation de voyages ixigo pouvant être achetées pour 262 $. Ces informations comprenaient des noms, des adresses, des mots de passe, des numéros de passeport et d'autres informations sensibles.

L'étude par qui ? examiné tous les domaines et sous-domaines connexes du site Web principal de l'entreprise concernée, y compris les portails de connexion des employés, pour trouver des opportunités dans lesquelles les pirates pourraient accéder à des informations sensibles. Pour mener l'étude, les enquêteurs n'ont pas utilisé de méthodes de piratage complexes, mais plutôt des outils légalement disponibles et accessibles à tous.

Pourtant, certaines des entreprises nommées dans le rapport insistent sur le fait que leurs mesures de cybersécurité sont adéquates. "Nous prenons la protection des données de nos clients très au sérieux et continuons d'investir massivement dans la cybersécurité", a déclaré à Travel-huh Catherine Wilson, porte-parole de British Airways. « Nous avons mis en place plusieurs couches de protection et sommes convaincus que nous avons les bons contrôles pour atténuer les vulnérabilités identifiées. Ces contrôles ne sont souvent pas détectés dans les analyses externes grossières. »

British Airways a été la cible d'une cyberattaque en 2018 au cours de laquelle les noms, adresses e-mail et informations de carte de crédit de près de 500 000 clients ont été volés. En réponse, l'ICO a proposé une amende de 230 millions de dollars, la plus grosse amende jamais infligée en vertu du règlement général sur la protection des données. Lequel? L'étude de British Airways a révélé 115 vulnérabilités potentielles, dont 12 ont été jugées « critiques » sur le site Web de British Airways. Il a également trouvé 497 vulnérabilités stupéfiantes sur le site Web de Marriott et 222 vulnérabilités dans les neuf domaines d'easyJet. Même les entreprises qui n'ont pas encore subi de violation de données très médiatisée, comme American Airlines, basée à Fort Worth, au Texas, se sont révélées vulnérables.

L'étude conclut que les trois sociétés, entre autres, « n'ont pas tiré les leçons des précédentes violations de données et laissent leurs clients exposés à des cybercriminels opportunistes », a écrit Rory Boland, Which? Editeur de Voyages. "Les agences de voyages doivent améliorer leur jeu et mieux protéger leurs clients contre les cybermenaces."