(Artikeln har ändrats för att försäkra sig nedan: "Som ett samtal med easyJet som avslutades klockan 14.05 onsdagen den 9 december, är Wandera nöjd med att säga att det easyJet har bekräftat att detta inte längre är ett pågående problem." - Eldar Tuvey, VD och medgrundare Wandera.)

Ett annat viktigt säkerhetshål har upptäckts och den här gången handlar det om finansiell information samt personuppgifter, med läckage av kreditkortsuppgifter under inköp från vissa företags mobila webbplatser och appar.

Wandera upptäckte denna sårbarhet, som den heter CardCrypt, och observerade att okrypterad betalningsinformation läckas från smartphones när användarna slutför transaktioner via mobilbanan eller när man använder appar.

De drabbade företagen inkluderar Chiltern Railways och Dash Card-tjänster i Storbritannien, och Aer Lingus i Irland, tillsammans med Air Canada, AirAsia och American Taxi för att nämna några (16 företag påverkas totalt).

Den data som spillts innehåller fullständiga kreditkortsuppgifter (inklusive det avgörande säkerhetsnummeret på baksidan i vissa fall), samt kundnamn och adresser, tillsammans med kontaktuppgifter och givetvis uppgifter om transaktionerna.

Wandera konstaterar att exakt data som läckt varierar från företag till företag beroende på vad organisationen kräver från kunden att behandla transaktionen, men i nästan alla fall har hela kreditkortdata hämtats okrypterat (och uppenbarligen detaljerad passinformation i ett fall ).

Ja, det är en mycket oroande situation, särskilt för kunderna hos dessa 16 företag som numrerar omkring en halv miljon per dag.

Om du använder ett av företagen kommer du förmodligen inte att trösta dig för att höra att i Wanderas tester läcktes fullständiga kreditkortsdata okrypterade.

HTTPS-fel

Kanske ännu mer oroande är den grundläggande naturen för denna sårbarhet, eftersom läckan inträffar eftersom dessa organisations webbplatser och appar inte använder HTTPS för att kryptera data som skickas från telefonen till företaget. Istället överförs de känsliga finansiella detaljerna enkelt via en vanlig HTTP-anslutning, vilket gör att de är öppna för avlyssning och efterföljande missbruk.

Är inte HTTPS ett krav i sådana transaktioner? I själva verket anges det av PCI DSS (Betalningskortets datasäkerhetsstandarder) att all känslig information måste krypteras när den överförs via allmänna nätverk av uppenbara skäl.

Eldar Tuvey, VD för Wandera, kommenterade: "Vi tror att det finns två troliga orsaker till att HTTPS inte har använts. Det kan vara ett fel i kodningen, eller det kan vara ett fall att förlita sig på otillräckliga tjänster från tredje part eller bibliotek. Hur som helst är det häpnadsväckande för mig att dessa företag har misslyckats med att utöva tillräcklig omsorg i samlingen av sina kunders personuppgifter. "

Det kan också vara andra företag som drabbas av samma fel också. Under tiden har ovannämnda företag redan fått ett meddelande om detta problem och förhoppningsvis vidtar åtgärder (eller har redan tagit det).

  • De 10 bästa överträdelserna under de senaste 12 månaderna