Adatok tízezreit vesztette el egy utazási iroda

Az adatbiztonsági incidenseket elszenvedő amerikai szervezetek sorát ezúttal egy utazási iroda gyarapította. A New Yorkban működő CitySights NY cég ugyanis arról értesítette az ügyfeleit, hogy adatlopás következtében személyes adataik kerülhettek veszélybe. Az iroda adatbázisából nem kevesebb, mint 110 ezer bankkártyaszám került ki.

A vizsgálatok szerint az incidensre idén szeptemberben került sor, azonban a cég csak most közölte a részleteket. A problémára októberben egy programozó figyelt fel, aki az egyik szerveren egy olyan, oda nem való scriptet talált, amelyről joggal lehetett feltételezni azt, hogy illetéktelen személyek révén került fel a kiszolgálóra. Ekkor azonnal elkezdődtek a vizsgálatok, amelyek fényt derítettek arra, hogy a cég adatbázisa ellen egy SQL-injection alapú támadás történt. Ezt az eddig ismeretlen elkövetők vélhetőleg egy webes űrlapon, illetve egy keresésre szolgáló mezőn keresztül valósították meg. Egy olyan adatbázishoz szereztek hozzáférést, melyben többek között nevek, postai és e-mail címek valamint hitelkártyaszámok, bankkártyaszámok és azokhoz tartozó érvényességi idők voltak megtalálhatók.

A CitySights NY egyelőre nem kívánta kommentálni a történeteket, viszont az anyavállalata, a Twin America közölte, hogy az incidens után számos fontos lépést tettek az adatbiztonság szintjének növelése érdekében. Szigorították a szerverekhez való hozzáféréseket, és webes alkalmazástűzfalakat telepítettek a jövőbeni esetleges támadások kivédése érdekében. Az utazási iroda az incidensben érintett ügyfeleit már értesítette, és számukra hitelkártya-monitorozó szolgáltatást valamint 50 százalékos utazási kedvezményre jogosító kupont ajánlott fel. A cégnek azért még lesz teendője a biztonság terén, ugyanis az értesítőkben kiküldött kuponok kódja a következő volt: 012345.