0
0
O design ruim morde como a política do Flight Centre de nenhum cartão de crédito ou números de passaporte no campo de texto gratuito do aplicativo não foi aplicada, portanto ignorada
Tenha cuidado com o que deseja ao executar um hackathon, porque um na Austrália descobriu uma violação de dados na lista de dados de amostra oferecidos aos hackers. E provavelmente foi culpa dos desenvolvedores.
O evento em questão foi organizado pela agência de viagens global The Flight Centre Group, que em março de 2017 organizou um evento chamado “design jam” para suas operações australianas. O evento teve como objetivo “criar soluções tecnológicas para os agentes de viagens para melhor apoiar os clientes durante o processo de vendas”.
16 equipes, compostas coletivamente por 90 pessoas inscritas, tiveram acesso a um conjunto de dados contendo 106 milhões de linhas de dados e contendo 6.121.565 registros individuais de clientes.
O Centro de Voo pensou que tinha limpado esse conjunto de dados para que os bloqueadores de design pudessem ver ano de nascimento, código postal, sexo e informações de reserva, mas nenhuma informação pessoal. E para ter certeza de que esse era o caso, o Flight Centre fez com que alguém revisasse “uma amostra de linha superior de 1.000 de cada Arquivo de Dados dentro do Conjunto de Dados”.
Mas cada arquivo tinha 28 milhões de linhas de profundidade e como os participantes do design jam trabalhavam seu caminho para o conjunto de dados, notou-se números de cartão de crédito em um campo de texto gratuito.
A seu crédito, dentro de 30 minutos após o conhecimento sobre a violação, o Flight Centre restringiu o acesso aos dados para projetar os participantes do jam. Menos responsável, restaurou o acesso, mas com o campo de texto livre restrito a dez caracteres.
Uma decisão sobre o incidente da Comissária australiana de Informação Angelene Falk considerou que o mau desenho e abuso do campo de texto livre foi o culpado. O relatório foi visto por itnews.com.au
A má concepção do campo estava em evidência porque o campo de texto livre não excluia dados como cartões de crédito e números de passaportes, apesar da existência de políticas que instruíssem os trabalhadores a não usar o campo para tais fins. Alguns trabalhadores claramente não tinham seguido essas políticas.
O resultado foi que 0,025% dos registros nos dados de congestionamento do projeto continham informações pessoais.
Falk observou que o Flight Centre contatou o maior número de clientes impactados como ele foi capaz e se ofereceu para pagar por novos passaportes, conduziu o monitoramento de fraude de cartão de crédito e geralmente fez tudo o que podia para fazer o bem após o incidente. Então, ele começou com ser dito para apertar seus bancos de dados e políticas, um chicote de língua, e ser dito para não deixar isso acontecer novamente ou então.
O Centro de Voo não executa mais hackathons.
FONTE: THE REGISTER