Akasa HavaHindistan’ın bu ayın başlarında faaliyete geçen yeni açılan havayolu, giriş ve kayıt hizmetini etkileyen teknik bir aksaklık nedeniyle binlerce müşterisinin kişisel verilerini ifşa etti.
Siber güvenlik araştırmacısı tarafından keşfedilen açığa çıkan veriler Ashutosh BarotuAkasa Air web sitesine kaydolan ve giriş yapan müşterilerin tam adlarını, cinsiyetlerini, e-posta adreslerini ve telefon numaralarını içeriyordu.
Araştırmacı, 7 Ağustos’taki açılış gününde Akasa Air’in web sitesine baktıktan sonra veri dakikalarını açıklayan bir HTTP talebi buldu. Araştırmacı, ilk başta Mumbai merkezli havayolunun güvenlik ekibiyle doğrudan iletişim kurmaya çalışmış ancak doğrudan bir irtibat bulamamıştı.
“Resmi Twitter hesapları aracılığıyla havayoluna ulaştım ve sorunu bildirmek için bir e-posta kimliği istedim. Destek personeli veya üçüncü taraf satıcılar tarafından ele alınabileceğinden, güvenlik açığı ayrıntılarını paylaşmadığım info@akasa e-posta kimliğini bana verdiler. Bu yüzden onlara tekrar e-posta gönderdim ve sordum [the airline] sağlamak [the] güvenlik ekibinden birinin e-posta adresi. Akasa’dan başka bir iletişim almadım, ”dedi araştırmacı.
Havayolundan güvenlik ekibiyle nasıl bağlantı kurabileceği konusunda bir yanıt alamayınca araştırmacı, TechCrunch’ı konu hakkında bilgilendirdi.
Akasa Air, ulaştığımızda hızlı bir şekilde yanıt verdi ve sorunun 34.533 benzersiz müşteri kaydını riske attığını kabul etti. Havayolu ayrıca, açığa çıkan verilerin seyahatle ilgili bilgileri veya ödeme kayıtlarını içermediğini söyledi.
Olaydan haberdar olan Akasa Air, kayıt hizmetini kapattı. Havayolu ayrıca halka hizmete devam etmeden önce ek kontroller eklediğini söyledi.
Ek olarak, havayolu TechCrunch’a tüm sistemlerinin güvenliğini sağlamak için ek incelemeler yaptığını söyledi.
Akasa Air, olayı Hindistan’ın düğüm noktası siber güvenlik ajansı CERT-In’e bildirdi ve etkilenen kullanıcılarını aynı zamanda halka açık Pazar günü. Verilere maruz kalma nedeniyle kullanıcılara “olası kimlik avı girişimlerinin farkında olmalarını” tavsiye etti. Ayrıca, TechCrunch’a verilere “erişimde istenmeyen bir artış” görmediğini doğruladı.
“Akasa Air’de sistem güvenliği ve müşteri bilgilerinin korunması her şeyden önemlidir ve odak noktamız her zaman güvenli ve güvenilir bir müşteri deneyimi sağlamaktır. Bu tür olayları önlemek için kapsamlı protokoller mevcut olsa da, tüm sistemlerimizin güvenliğinin daha da artırılmasını sağlamak için ek önlemler aldık. Akasa Air’in Kurucu Ortağı ve Bilişim Kurulu Başkanı Anand Srinivasan yaptığı açıklamada, “Sistemlerimizi güçlendirmek için yararlanabileceğimiz ortaklar, araştırmacılar ve güvenlik uzmanlarıyla uygun olan her yerde etkileşim kurarak sağlam güvenlik protokollerimizi sürdürmeye devam edeceğiz” dedi. konuyla ilgili açıklama hazırladı.
Araştırmacı, “Havayolunun sorunu kısa sürede düzeltip CERT-In’e bildirmesinden ve ayrıca örnek bir adım olan olay hakkında müşterilerini bilgilendirmesinden memnunum” dedi.
Bu ayın başlarında veri koruma faturasının son tekrarını geri çeken Hindistan’da veriye maruz kalma ve sızıntı olayları yaygınlaşıyor. Ülkedeki bazı yerli şirketlerin de sistemlerindeki kusurları bulmaya yardımcı olan araştırmacıları ödüllendirmek ve teşvik etmek için özel programları yoktur.
