Hindistan’ın en yeni havayolu şirketi Akasa Air’in karıştığı ve binlerce bireysel müşterinin kişisel verilerini ifşa eden bir olay yaşandı. Bu açıklamanın nedeni olarak şirket tarafından teknik bir yapılandırma hatası gösterildi.
Bu güvenlik açığı, güvenlik araştırmacısı Ashutosh Barot tarafından tespit edildi ve şunları söyledi:-
“Hesap kayıt sürecinde mevcut olan bir kusur nedeniyle, binlerce hassas müşteri verisi açığa çıktı ve bu da gizli bilgilerin çalınmasına neden oldu.”
Veri İçerend
Aşağıda, bu olayda açığa çıkan tüm veri türlerinden bahsettik:-
- İsimler
- Cinsiyet
- E-mail adresleri
- Telefon numaraları
Araştırırken, bir HTTP isteği yapıldığını keşfetti. Bu talebe yanıt olarak kendisine JSON formatlı bir yanıt gönderildi.
İsteği daha doğru hale getirmek için hemen parametrelerde bazı değişiklikler yaptı. Sonuç olarak, diğer kullanıcıların kişisel bilgilerini görebildi ve bu sadece 30 dakika sürdü.
Düşük maliyetli havayolu 7 Ağustos 2022’de ülkede faaliyete başlar başlamaz hata tespit edildi. Şirket bu olaydan Barot tarafından zaten haberdar edilmişken.
Şirket, durumu hafifletme stratejisinin bir parçası olarak şu anda sisteminin en kritik bileşenlerinden birkaçını kapattı. Soruşturmanın bir parçası olarak şirket, olayı CERT-In’e de bildirdi.
Aksaklık henüz vahşi doğada istismar edilmedi ve bunun yapıldığına dair hiçbir kanıt yok. Akasa Air’den seyahat veya faturalandırmayla ilgili hiçbir bilginin kötüye kullanılmadığına dair daha fazla teyit alındı.
Ayrıca havayolu, etkilenen kullanıcıların olay hakkında doğrudan havayolu tarafından bilgilendirildiğini kaydetti. Bununla birlikte, sızıntının ne kadar yayıldığı şu anda belirsizliğini koruyor.
Kullanıcıların kimlik avı girişimleri olasılığının farkında olmaları ve dikkatli olmaları önerilir. Hintli şirketlerdeki güvenlik olayları açısından bu daha önce hiç görülmemiş bir şey.
Ücretsiz Yazılım Yazılımını İndirin – Güvenli Web Filtreleme – E-kitap