Avustralyalı bayrak taşıyıcı Qantas, mobil uygulamasındaki bir aksaklığın geçici olarak bazı müşterilerin diğer sık uçan yolcuların uçuşlarını ve rezervasyon ayrıntılarını iki ayrı durumda görüntülemesine olanak sağlamasının ardından uçanlardan özür diledi.
Havayolu, hiçbir mali bilginin ifşa edilmediğini ve hiçbir kullanıcının başkalarına ait sık uçuş noktalarını devredemediğini veya kullanamadığını söyledi. Ayrıca hiç kimse başka bir müşterinin biniş kartını kullanarak uçağa binemedi ve buna teşebbüs edilmedi.
Qantas yaptığı açıklamada, “Qantas uygulamasıyla ilgili bu sabahki sorundan etkilenen müşterilerimizden içtenlikle özür dileriz, bu sorun artık çözülmüştür.” dedi.
“Mevcut araştırmalar bunun bir teknoloji sorunundan kaynaklandığını ve son sistem değişiklikleriyle ilgili olabileceğini gösteriyor. Şu aşamada herhangi bir siber güvenlik olayına dair bir belirti yok.”
Sorun ilk olarak 1 Mayıs 2024’te Avustralya’da sabah 9’dan kısa bir süre önce (BST 12:00) ortaya çıktı ve birden fazla kullanıcı aniden başkalarının rezervasyonlarını görüntüleyebildiklerini ve görünüşe göre değiştirebildiklerini bildirdi. Sorun sabah 7.50’de (BST) çözüldü. Kaç İngiliz vatandaşının veya sakininin etkilendiği bilinmiyor.
Her ne kadar Qantas, olayın tehdit aktörlerinin doğrudan müdahalesi sonucu meydana gelmediğini belirtmiş olsa da, olayın kesinlikle ciddi bir veri ihlali teşkil ettiği ve kötü niyetli birisinin bir başkasının verilerine ulaşmış olması durumunda bu verileri başka amaçlarla kullanmış olması mümkün. o kişiye karşı devam eden bir siber saldırı. Havayolu, yolculara dolandırıcılık ve dolandırıcılık olasılığına karşı dikkatli olmalarını tavsiye etti.
Mobil uygulama güvenliği uzmanı Approov’un CEO’su Ted Miracco, olayın bu nedenle son derece endişe verici olduğunu söyledi. “Açıklanan sorun, kullanıcı oturumlarının ve verilerin uygulama içinde nasıl işlendiğiyle ilgili önemli bir sorun olduğunu gösteriyor. Uygulama Programlama Arayüzü (API), oturum belirteçlerini hatalı şekilde işliyor veya doğruluyor, bu da verilere yetkisiz erişime yol açıyor.
“Rezervasyon ayrıntıları, sık uçan yolcu numaraları ve biniş kartları dahil olmak üzere bu tür kişisel bilgilerin ifşa edilmesi ciddi riskler ve yükümlülükler doğurur. Veriler kimlik hırsızlığı, kimlik avı dolandırıcılığı veya daha fazla kişisel bilgiye yetkisiz erişim için kullanılabilir.
“Böyle bir ihlalin, özellikle Avustralya Gizlilik Yasası (APA) veya GDPR gibi veri koruma düzenlemeleri (eğer etkilenen herhangi bir AB vatandaşı varsa) veya etkilenen yolcuların uyruğuna bağlı olarak diğer yerel gizlilik yasaları kapsamında önemli yasal ve uyumluluk sonuçları olmalıdır. ” ekledi.
Kullanımı her yıl yaklaşık %200 artan API’lerin her yerde bulunması sayesinde API güvenliği büyük bir sorun haline geldi. Son yıllarda yazılmış, bir şekilde API’yi açığa çıkarmayan veya tüketmeyen birkaç kod parçası vardır ve görev kritiklikleri, dağınık yapıları ve geliştiriciler ile güvenlik ekiplerini çatışmaya sokma eğilimleri sayesinde büyük bir saldırı vektörü haline geldiler. siber suçlular için. Aslında, son yıllarda API’lerden yararlanan en önemli siber saldırılardan biri, 2022’de başka bir Avustralyalı kuruluş olan telekomünikasyon şirketi Optus’u etkileyen ve milyonlarca müşterinin verilerini açığa çıkaran bir olaydı.
Sistem değişiklikleri
Eğer olay gerçekten de başarısız bir sistem değişikliğinin ardından meydana geldiyse, Qantas, son haftalarda benzer sorunlarla karşılaşan kuruluşların arasında giderek büyüyen bir listeye katılıyor. Mart 2024’te, fast food zinciri McDonald’s ve Nationwide inşaat şirketi de dahil olmak üzere Birleşik Krallık ana caddesindeki bir dizi önde gelen isim, rutin iyileştirme çalışmaları sırasında yapılan hatalar nedeniyle önemli kesintiler yaşadı.