I flere medier melder SAS om at de er ramt af et cyberangreb, men meget tyder på at nedbruddet af både hjemmeside og app er langt mere omfattende end et traditionelt DDoS-angreb, som normalt bare gør hjemmesider utilgængelige. Mange melder om alvorlige brud på datasikkerheden.
At store hjemmesider kan blive ramt af cyberangreb – eller såkaldte DDoS (Distributed Denial of Service) eller overbelastningsangreb – er ikke uvanligt. Normalt betyder det at serverne bliver overbelastede af mange samtidige forspørgsler fra hackere og derfor ikke kan tilgåes.
Men i SAS tilfælde melder mange kunder om at det er langt værre end som så.
i SAS app’en kan mange f.eks. se personlige oplysninger – inkl. adresse, telefonnummer, email, fødselsdato m.v. på helt fremmede personer. Dette har vi bl.a. selv konstateret.
Derudover kan vi se tidligere rejser for en helt anden person og checke ind (har dog ikke testet om systemet virker, men rejsen vises som klar til check-in) for en tredje person.
Her er der altså tale om at der bliver rodet alvorligt rundt i personlige data fra kunderne, som ufrivilligt vises for andre. Noget som naturligvis på ingen måde er acceptabelt og kan give gigantiske bøder.
På FinalCall.travel har vi konstateret personlige oplysninger fra tre forskellige personer, som vi ingen relation har til i vores app. Altså et yderst alvorligt brud på datasikkerheden.
Hvorfor denne data er tilgængelig og hvorfor SAS ikke for længst har lukket helt ned for deres servere for at sikre folks data indtil de har overblik over situationen – er ganske overraskende. Det er noget som aldrig burde kunne ske – og slet ikke p.g.a. et DDoS-angreb.
Meget tyder altså på at det cyberangreb SAS er udsat for er langt mere omfattende og alvorligt end det først er blevet antydet i medierne.
