Hindistan’ın en yeni ticari havayolu şirketi Akasa Air, teknik bir yapılandırma hatası olarak suçladığı müşterilerine ait kişisel verileri ifşa etti.
Güvenlik araştırmacısına göre Ashutosh Barotusorun, hesap kayıt sürecinden kaynaklanıyor ve adlar, cinsiyet, e-posta adresleri ve telefon numaraları gibi ayrıntıların açığa çıkmasına neden oluyor.
Hata, 7 Ağustos 2022’de, düşük maliyetli havayolunun ülkedeki faaliyetlerine başladığı gün tespit edildi.
“Adımı, e-posta adresimi, telefon numaramı, cinsiyetimi vb. JSON biçiminde veren bir HTTP isteği buldum” Borot söz konusu bir yazımda. “Hemen bazı parametreleri değiştirdim [the] istek ve diğer kullanıcının PII’sini görebildim. Bu sorunu bulmak yaklaşık 30 dakika sürdü.”
Rapor alındıktan sonra şirket söz konusu ek güvenlik korkulukları eklemek için sisteminin parçalarını geçici olarak kapatır. Ayrıca, olayı Hindistan Bilgisayar Acil Müdahale Ekibine (CERT-In) bildirdi.
Akasa Air, seyahatle ilgili hiçbir bilginin veya ödeme ayrıntılarının erişilebilir bırakılmadığını ve aksaklığın vahşi doğada istismar edildiğine dair bir kanıt bulunmadığını vurguladı.
Havayolu ayrıca, sızıntının ölçeği belirsizliğini korusa da, olaydan etkilenen kullanıcıları doğrudan bilgilendirdiğini ve “kullanıcılara olası kimlik avı girişimleri konusunda bilinçli olmalarını tavsiye ettiğini” söyledi.