Avustralya seyahat acentesi Inspiring Vacations, binlerce müşterinin pasaport ve seyahat ayrıntılarını açığa çıkaran bir veri ihlalinin kurbanı oldu. Melbourne merkezli şirket, siber güvenlik araştırmacısı Jeremiah Fowler’ın Inspiring Vacations veri ihlalini keşfetmesiyle gündeme geldi.
İlham Veren Tatil Verileri İhlalinin Keşfi ve Kapsamı
Fowler bildirdi Toplam 112.605 kayıttan ve 26,8 GB boyutundan oluşan, halka açık bir veritabanının son derece hassas bilgiler içerdiğini söyledi. Veritabanında yüksek çözünürlüklü pasaport resimleri, seyahat vizesi sertifikaları ve seyahat planı veya bilet dosyaları yer alıyordu.
Inspiring Vacations veri ihlalinden etkilenen kişilerin çoğunluğu Avustralya vatandaşları olsa da Yeni Zelanda, Birleşik Krallık ve İrlanda’dan gelen kimlik belgeleri de mevcuttu.
Sınırlı bir örnekte tahmini 1.000 kimlik belgesinin yanı sıra pasaport numaralarını ve diğer kişisel bilgileri (PII) detaylandıran ek dosyalar nedeniyle pasaportlar üzerindeki etkinin boyutu belirsizliğini koruyor. Özellikle pasaport belge adları, kişinin adını düz metin olarak içerecek şekilde yapılandırılmıştır.
Inspiring Vacations veri ihlalinin daha ayrıntılı incelenmesi, 13.684 müşteriyle ilgili bilgilerin ayrıntılarını içeren 48.xls e-tablosunu ortaya çıkardı. Bu bilgiler arasında seyahat edenlerin adları, e-posta adresleri, seyahat masrafları, varış noktaları ve şirket içi ayrıntılar yer alıyordu.
Ayrıca yaklaşık 24.000 seyahat planı ve e-bilet .pdf belgesi mevcuttu ve bazılarında kısmi kredi kartı numaraları da yer alıyordu. Veritabanı aynı zamanda ortaklara ve bağlı kuruluşlara ödenen brüt maliyetleri ve komisyonları belirten 17.000 vergi faturası da dahil olmak üzere dahili belgeleri de barındırıyordu.
Inspiring Vacations veri ihlalini fark eden Fowler, derhal sorumlu bir açıklama bildirimi yayınlayarak veritabanının kamu erişiminden korunmasını sağladı. Şirket, Fowler’ın bildirimini kabul ederek minnettarlığını ifade etti ve hiçbir dosyanın düzeltmeler yapılmadan indirilmediğini doğruladı.
“Hemen sorumlu bir açıklama bildirimi gönderdim ve veritabanı kamu erişiminden korundu. Bildirimim için bana teşekkür eden ve veritabanından dosyaları düzeltmeler olmadan indirmediğimi doğrulayan bir yanıt aldım” dedi araştırma web sitesine.
Cyber Express Ekibi, Inspiring Vacations’tan resmi onay istedi ancak raporlama sırasında herhangi bir yanıt alamadı.
Paralel Olaylar
Bu olay, BianLian fidye yazılımı grubu tarafından Air Sino-Euro Associates’e (ASA Holidays) yönelik iddia edilen siber saldırının ardından geldi. ASA Holidays saldırıyı resmi olarak onaylamasa da BianLian, önemli miktarda hassas veri çıkardığını ve bunun çalışanların ve müşterilerin gizliliği ve güvenliği için önemli bir risk oluşturduğunu iddia ediyor.
Yetkililer Inspiring Vacations veri ihlalinin boyutunu araştırırken ve etkilenen bireyler daha fazla bilgi beklerken, olaylar seyahat endüstrisinde müşteri verilerini korumak ve dijital ortama olan güveni sürdürmek için güçlü siber güvenlik önlemlerine duyulan kritik ihtiyacı ortaya koyuyor.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.