Hindistan’ın en yeni ticari havayolu şirketi Akasa Air, müşterilerine ait kişisel verileri ifşa etti. Şirket, bu veri sızıntılarını teknik yapılandırma hatalarına bağladı.
Bir güvenlik araştırmacısı olan Ashutosh Barot, bu sorunun hesap kayıt sürecinden kaynaklandığını ve cinsiyet, e-posta adresleri, isimler ve telefon numaraları gibi kişisel bilgilerin açığa çıkmasına neden olduğunu ekledi.
Hata, havayolunun ülkedeki faaliyetlerine başladığı gün olan 7 Ağustos 2022’de tespit edildi.
Barot bir raporda şunları yazdı: “[he] veren bir HTTP isteği buldu [his] JSON formatında ad, e-posta, telefon numarası, cinsiyet vb. [He] bazı parametreleri hemen değiştirdi [the] istekte bulundu ve diğer kullanıcının PII’sini görebildi. Bu sorunu bulmak yaklaşık 30 dakika sürdü.”
Şirket raporu aldıktan sonra, ek güvenlik korkulukları eklemek için sisteminin bazı bölümlerini geçici olarak kapattılar. Düşük bütçeli havayolu da olayı Hindistan Bilgisayar Acil Müdahale Ekibine (CERT-In) bildirdi.
Akasa Air, ödeme veya seyahatle ilgili hiçbir detayın erişilebilir bırakılmadığını vurguladı. Ayrıca, aksaklığın vahşi doğada açığa çıkarken istismar edildiğine dair bir kanıt da yok.
Havayolu, sızıntının ölçeği belirsizliğini korusa da, olayla ilgili kullanıcıları doğrudan etkilediğini söyledi. Akasa Air, “kullanıcılara olası kimlik avı girişimlerine karşı bilinçli olmalarını tavsiye ettiğini” ekledi.