Firefox をベースにしたプライバシー重視のブラウザ、Cliqz のデータ セキュリティ エンジニアである Konark Modi 氏によると、国際航空会社 エミレーツ航空が顧客の機密個人情報をサードパーティのマーケティング パートナーやネットワーク敵対者に漏洩しているという。
モディ首相は金曜日のオンライン投稿で、顧客がエミレーツ航空を通じて航空券を予約した後、予約管理の過程で、個人を特定できる情報が、Boxever、Coremetrics、Crazy Egg、Facebook、Googleを含む12以上の第三者追跡サービスと共有されると述べた。
データには、顧客名、顧客の電子メール、旅程、電話番号、パスポート番号および詳細が含まれており、この情報を編集する機能も備わっています。
エミレーツ航空のプライバシーポリシーでは、ある程度のデータ共有が行われる可能性があることが明記されています。しかし、ポリシーの文言は、顧客データの大量提供を宣言したり、予約の変更を許可したりするものではありません。
エミレーツ航空とトルコ航空、米国行き便でのノートパソコン持ち込み禁止を解除
続きを読む
モディ氏は、自身の主張はサードパーティのトラッカーの利用に反対するものではないと述べた。「懸念されるのは、そのようなサービスがウェブサイトの全ページに導入され、何がプライベートデータで何がそうでないかを区別していないことだ」と述べ、すべてのそのようなサービスが顧客データの全範囲にアクセスできるべきではないと指摘した。
モディ氏によると、予約確認メールをクリックすると、ユーザーはエミレーツ航空のウェブサイトに誘導され、そこにはマーケティングパートナーに代わってデータを収集するコードであるトラッカーが満載されているという。
また、最初のリンクは安全でない HTTP プロトコルに依存しているため、関連データがネットワークベースの中間者攻撃にアクセスできる可能性があります。
モディ首相はThe Register宛の電子メールで、こうした情報が悪用される可能性のあるいくつかのシナリオを説明した。
- 1. サードパーティ企業自身がデータを利用する可能性があります。プライバシーポリシーに「現在はデータを使用していない」と記載されていても、ポリシーは常に変更されます。
- 2. 社内の悪意あるユーザーがこのデータを個人情報の盗難に利用する可能性があります。
- 3. これらの企業がハッキングされ、ユーザーのデータが侵害された場合、その企業外部の組織もこの機密情報にアクセスできるようになります。
- 4. ユーザーが HTTP 経由でリンクを開く場合 (Emirates.com の場合)、ネットワークを監視できる攻撃者は誰でも同じ情報にアクセスできるようになります。
しかし、これらは理論上の懸念であり、現在このデータが悪用されているという兆候はありません。
モディ氏は、この問題を認識し、2017年10月にソーシャルメディアを通じてエミレーツ航空に報告したと述べている。当時、ウェブアプリは隠しフォームフィールドを通じて個人情報を渡していたが、そのフィールドはプレーンテキストとしてアクセス可能だったと彼は主張している。
ウェブアプリはその後改訂され、問題は解消されたが、エミレーツのモバイルアプリでは同じ問題が見られると彼は主張している。
「エミレーツ航空に関しては、確かに問題は依然として残っている」と彼はThe Registerに認めた。
モディ首相は、KLMやルフトハンザ航空といった他の航空会社も同様にデータセキュリティ対策が不十分だと主張している。少なくとも昨年10月に確認した時点ではそうだった。問題はサードパーティサービスの利用状況ではなく、それらのサービスの実装方法にあると彼は述べている。
フェイスブックやグーグルアナリティクスのような追跡ツールにより、企業はインターネット上で個人を追跡し、匿名性を解除できる可能性があるとモディ氏は述べた。
「ここで重要な点は、ユーザーはこれにサインしたことはなく、ただインターネットを閲覧しただけだということです」と彼は説明した。
モディ首相は、プライバシーデータを危険にさらすサードパーティの追跡コードの使用をエミレーツ航空が制限することを望んでいる。
「エミレーツは自社のウェブサイトと、ウェブサイトが第三者サービスと共有する情報の管理権を持っています」と彼は言う。「ユーザー情報の漏洩を制限するには、この管理権限を行使する必要があるのです。」
エミレーツ航空はコメント要請に直ちには応じなかった。®
追加更新
エミレーツ航空は次のような声明を発表しました。
エミレーツ航空の声明に対し、モディ首相は「この声明は曖昧なだけでなく、事実誤認だ」と述べた。
彼はその後の投稿で、自身の異議について詳しく述べた。®
