תרחיש אימים דיגיטלי: גיא (שם בדוי), לקוח מאזור המרכז שניסה לעשות צ'ק-אין לטיסה בארקיע, הופתע לגלות את פרטיהם האישיים של עשרות לקוחות, יחד עם מועדי הטיסה שלהם, מחיר הטיסה שלהם ועם אפשרות לשנות ולבטל את הזמנותיהם.
"עשיתי צ'ק-אין וניסיתי לשלם על שדרוג מקום. יצא שטעיתי ב-cvv" (שלוש הספרות בגב הכרטיס – אל"ק), "וקפץ לי מסך להזמנות באתר. לחצתי שוב על החשבון שלי, ופתאום הופיע מסך עם המון מידע על הזמנות של לקוחות רבים ליעדים שונים באילת ובחו"ל".
בדקנו את הסוגיה. במספר סימולציות דומות, ניסינו גם אנחנו במהלך תהליך צ'ק-אין לרכוש מושבים בטיסה. הופתענו לגלות גם אנחנו את הבאג המסתורי שחושף את המידע – שאסור בתכלית האיסור שייחשף. "כל האקר מתחיל יכול לחגוג על תקלה כזו", אמרו לנו מומחים בענף אבטחת המידע: "תקלה כזו יכולה להוביל לביטול של עשרות טיסות, ולגרום נזק עצום לחברה".
התקלה המסוכנת חושפת נתונים אישיים משמעותיים: מידע על שמות הנוסעים, פרטי האשראי שלהם, האנשים שנוסעים יחד עימם, עלות נסיעתם ועוד. התקלה גם מאפשרת לכל אדם לשנות את פרטי ההזמנה.
"הקלות שבה ניתן לשנות הזמנות ולהיחשף למידע כל כך אישי, רגיש וחסוי, פשוט הבהילה אותי. זה הזוי איך בקלות בלתי נסבלת אפשר להיכנס להזמנות של לקוחות, ולכל פרטיהם האישיים", מוסיף גיא.
בתגובה נמסר לנו מחברת ארקיע: "החברה חרתה על דגלה את נושא אבטחת המידע, ומקפידה לעמוד בסטנדרטים הגבוהים ביותר במטרה להגן על המידע ועל לקוחותיה. במקרה הנדון, עם היוודע התקלה, החל טיפול מיידי בבעיה, וברגעים אלה אנו עמלים לתקן את התקלה עד לחסימה הרמטית".
