Bilgisayar korsanları, Austin, Teksas merkezli bir işe alım şirketi olan Pilot Credentials tarafından tutulan bir veri tabanını ihlal ederek American Airlines ve Southwest Airlines için 8.000’den fazla pilot adayının kişisel bilgilerinin çalınmasına neden oldu.
Ele geçirilen veriler, pilot ve öğrenci adaylarının isimlerini, doğum tarihlerini, Sosyal Güvenlik ve pasaport numaralarının yanı sıra sürücü ve pilot lisans numaralarını içerir.
Her iki havayolu tarafından yapılan ihlal bildirimlerine göre 5.745 American Airlines başvuru sahipleri ihlalden 3.009 kişinin bilgileri açığa çıkarken Güneybatı başvuru sahipleri.
Havayolları, ihlalden 30 Nisan’da meydana geldikten sonra 3 Mayıs’ta haberdar oldu.
American Airlines, dolandırıcılık faaliyeti veya kimlik hırsızlığı kanıtı bildirmedi, ancak etkilenen başvuru sahiplerine iki yıllık kimlik hırsızlığı koruması sunuyor.
Her iki havayolu da işe alım süreçlerini dahili web sitelerine kaydırdıklarını ve kolluk soruşturmalarıyla işbirliği yaptıklarını söyledi.
Southwest Airlines, “Artık satıcıyı kullanmıyoruz ve ileriye doğru, pilot adayları Southwest tarafından yönetilen dahili bir portala yönlendiriliyor” dedi.
Comforte AG’nin siber güvenlik uzmanı Erfan Shadabi, bu tür verilerin, kimlik hırsızlığı, finansal dolandırıcılık ve hedefli kimlik avı saldırıları da dahil olmak üzere çeşitli kötü amaçlarla istismar edebilen siber suçlular için bir altın madeni olduğunu söylüyor.
Shadabi, “Amerikan Havayolları ve Southwest Havayolları’nın dahil olduğu son veri ihlali, bu tür olayların kuruluşlara verebileceği derin hasarı vurguluyor” diyor.
KnowBe4’te güvenlik farkındalığı savunucusu olan Erich Kron, bu tür bir ihlalin hassas bilgileri yönetmek için üçüncü taraflara güvenmenin tehlikelerini gösterdiğini kabul ediyor.
“Maalesef, tedarik zincirleri giderek daha fazla hedefleniyor ve bu da hizmetlerinin kullanıcılarını önemli ölçüde üzüyor” diye ekliyor. “Birçok durumda, özgeçmiş yönetimi, iş talepleri ve diğer pek çok işlev gibi hizmetleri yürütmeleri için satıcıları görevlendirmek ekonomik olarak daha uygundur.”
Kron’a göre buradaki sorun, işler ters gittiğinde bunun genellikle müşteri organizasyonuna hizmet sağlayıcıdan daha kötü yansımasıdır.
Havayolları Üçüncü Taraf Güvenliğini İyileştirmeli
Swimlane’de baş güvenlik otomasyonu mimarı olan Nick Tausek, veri ihlali riskini önemli ölçüde azaltmak için havayollarının güçlü güvenlik önlemlerinin uygulanmasına öncelik vermek için üçüncü taraf satıcılarla yakın işbirliği yapması gerektiğini söylüyor.
Bu, çok faktörlü kimlik doğrulama ve düzenli parola güncellemeleri gibi uygulamaları ve mevcut güvenlik stratejilerinin tehdit algılama ve olay yanıtında gecikmelere yer açıp açmadığını değerlendirmeyi içerir.
“Gerçek şu ki, manuel güvenlik süreçleri genellikle zaman alıyor ve hatalara açık, bu da kuruluşları saldırılara karşı savunmasız bırakıyor” diyor. “Güvenlik otomasyon araçları, özellikle az kodlu olanlar, güvenlik ekiplerinin gelişen tehdit ortamına ayak uydurma yeteneklerini hızlandırabilir.”
LogRhythm’de kıdemli tehdit araştırma mühendisi olan Sally Vincent, bir kuruluşun BT altyapısındaki tehditleri yönetme ve tespit etme zorluklarına ek olarak, üçüncü taraf riskini değerlendirmenin de kritik bir unsur olduğunu söylüyor.
“Havayolları için, güçlü iletişim ve bildirim araçlarına sahip olmanın yanı sıra karmaşık BT ortamlarını etkin bir şekilde nasıl yapılandıracaklarına dair derin bir anlayışa sahip olmak çok önemlidir” diyor.
Bu, tüm cephelerdeki anormal ve kötü amaçlı etkinliklere ilişkin kapsamlı bir görüş elde etmelerine olanak tanıyarak hızlı ve eksiksiz bir yanıt verilmesini sağlar.
Vincent, “Üçüncü taraf satıcılar da dahil olmak üzere tam görünürlük sağlayan iyi yapılandırılmış bir güvenlik izleme çözümü uygulayarak, tehlike belirtilerini tespit etmek ve tehdidi zamanında azaltmak daha olasıydı” diyor.
Kron, bir kuruluşun bilgileri, özellikle de hassas nitelikteki herhangi bir şeyi işlemek veya toplamak için üçüncü taraf bir hizmeti kullanacağı zaman, güvenlik açısından özel dikkat gösterilmesi gerektiğini ve satıcıyla yapılan sözleşmenin bir parçası olması gerektiğini ekliyor.
Onun bakış açısına göre, verilerin nasıl işlendiği, kimin erişime sahip olduğu, nasıl güvence altına alındığı ve ne kadar süreyle saklandığı, sözleşmelerde ele alınması gereken temel endişelerden bazılarıdır.
“Hassas bilgilerinizi işleyen herhangi bir üçüncü tarafın güvenliği, güvenlik standartlarının onları işe alan kuruluşunkini karşılamasını veya aşmasını sağlamak için incelenmelidir” diyor.
Havayolları ve Seyahat Sektörü Sürekli Saldırı Altında
Geçen yıl American Airlines, çok sayıda müşteri verisi içeren e-posta hesaplarını ele geçiren çalışanlarına yönelik başarılı bir kimlik avı saldırısının kurbanı oldu.
Bu saldırıların ve seyahat sektörünün siber suçlular tarafından hedef alınmaya devam edilmesinin ardından, Ulaştırma Güvenliği İdaresi (TSA), havaalanı ve uçak operatörleri için yeni bir siber güvenlik gereksinimleri seti duyurdu.
Bu yükümlülük, operatörlerin önemli siber ihlalleri Siber Güvenlik ve Altyapı Güvenliği Ajansına (CISA) bildirmesi için önceki TSA gerekliliklerini takip eder.
Fidye yazılımı saldırıları, bir saldırının uçuş gecikmelerine neden olduğu ve çevrimiçi rezervasyon sistemlerini ve müşteri hizmetleri portallarını kullanılamaz hale getirdiği düşük maliyetli taşıyıcı Indian SpiceJet dahil olmak üzere dünya çapındaki havayollarını etkiledi.
