Hindistan’ın en yeni ticari havayolu şirketi Akasa Air, teknik bir yapılandırma hatası olarak suçladığı müşterilerine ait kişisel verileri ifşa etti.
Güvenlik araştırmacısı Ashutosh Barot’a göre, sorun hesap kayıt sürecinden kaynaklanıyor ve bu da adlar, cinsiyet, e-posta adresleri ve telefon numaraları gibi ayrıntıların açığa çıkmasına neden oluyor.
Hata, 7 Ağustos 2022’de, düşük maliyetli havayolunun ülkedeki faaliyetlerine başladığı gün tespit edildi.
Borot bir yazısında, “Adımı, e-posta adresimi, telefon numaramı, cinsiyetimi vb. JSON formatında veren bir HTTP isteği buldum” dedi. “Hemen bazı parametreleri değiştirdim [the] istek ve diğer kullanıcının PII’sini görebildim. Bu sorunu bulmak yaklaşık 30 dakika sürdü.”
Raporu aldıktan sonra şirket, ek güvenlik korkulukları eklemek için sisteminin bazı bölümlerini geçici olarak kapattığını söyledi. Ayrıca, olayı Hindistan Bilgisayar Acil Müdahale Ekibine (CERT-In) bildirdi.
Akasa Air, seyahatle ilgili hiçbir bilginin veya ödeme ayrıntılarının erişilebilir bırakılmadığını ve aksaklığın vahşi doğada istismar edildiğine dair bir kanıt bulunmadığını vurguladı.
Havayolu ayrıca, sızıntının ölçeği belirsizliğini korusa da, olaydan etkilenen kullanıcıları doğrudan bilgilendirdiğini ve “kullanıcılara olası kimlik avı girişimleri konusunda bilinçli olmalarını tavsiye ettiğini” söyledi.