Durante los últimos meses se ha vuelto muy común escuchar reportes sobre incidentes de seguridad informática ocurridos en aerolíneas de diversas partes del mundo. En esta ocasión, la compañía afectada es SpiceJet, una de las aerolíneas privadas más grandes de India, que ha sido víctima de una brecha de datos que involucra la información de más de un millón de usuarios.
El investigador obtuvo acceso a uno de los sistemas de SpiceJet empleando métodos de fuerza bruta, tarea fácil puesto que estos sistemas estaban protegidos con una contraseña muy débil. Posteriormente, el investigador menciona que encontró una base de datos con la información de 1.2 millones de usuarios de la aerolínea.
La información fue revelada por un investigador anónimo y retomada por diversas plataformas especializadas. Aunque el supuesto investigador considera su labor como hacking ético, argumenta que le es imposible revelar su identidad, pues en el proceso ha violado algunas leyes relacionadas con las actividades de hacking y seguridad informática en E.U.
Respecto a la información comprometida, cada registro es único e incluye detalles como:
- Nombre completo
- Número de teléfono
- Dirección email
- Fechas de nacimiento
Para empeorar la situación, el investigador afirma que muchos de estos registros pertenecen a funcionarios estatales que han viajado por SpiceJet. La base de datos cuenta con registros de alrededor de un mes continuo de actividades y está al alcance de cualquiera que sepa dónde buscar esta clase de información.
El investigador afirma que trató de ponerse en contacto con el personal de TI de la aerolínea, aunque no obtuvo una respuesta satisfactoria. Ante la nula acción de la compañía, el experto optó por notificar a CERT-In, una agencia pública encargada de gestionar los incidentes de seguridad informática al interior del territorio de India. El personal de CERT corroboró las afirmaciones del investigador y notificó a SpiceJet sobre el incidente.
Al respecto, un portavoz de SpiceJet declaró: “La seguridad de la información de nuestros usuarios es nuestra prioridad. Nuestros sistemas cuentan con las mejores protecciones y se mantienen actualizados para evitar cualquier incidente de seguridad informática. Hemos tomado todas las medidas posibles para mantener los más altos estándares de seguridad”.
SpiceJet opera alrededor del 13% del mercado de las aerolíneas en India. Con más de 600 vuelos al día, SpiceJet es una de las compañías de mayor crecimiento en territorio asiático, por lo que es vital que sus equipos de TI operen con las mejores prácticas de la industria.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.