Akasa Air, la toute nouvelle compagnie aérienne commerciale indienne, a exposé les données personnelles de ses clients que l’entreprise a imputées à une erreur de configuration technique.
Selon un chercheur en sécurité Ashutosh Barotle problème est enraciné dans le processus d’enregistrement du compte, ce qui entraîne l’exposition de détails tels que les noms, le sexe, les adresses e-mail et les numéros de téléphone.
Le bogue a été identifié le 7 août 2022, le jour même où la compagnie aérienne à bas prix a commencé ses opérations dans le pays.
“J’ai trouvé une requête HTTP qui donnait mon nom, mon email, mon numéro de téléphone, mon sexe, etc. au format JSON”, Borot a dit dans un écrit. “J’ai immédiatement changé certains paramètres dans [the] demande et j’ai pu voir les PII d’autres utilisateurs. Il a fallu environ 30 minutes pour trouver ce problème.”
Dès réception du rapport, la société a dit il a temporairement fermé certaines parties de son système pour incorporer des garde-corps de sécurité supplémentaires. Il a également signalé l’incident à l’équipe indienne d’intervention d’urgence informatique (CERT-In).
Akasa Air a souligné qu’aucune information liée au voyage ou aucun détail de paiement n’a été laissé accessible et qu’il n’y a aucune preuve que le problème a été exploité dans la nature.
La compagnie aérienne a en outre déclaré avoir directement informé les utilisateurs concernés de l’incident, bien que l’ampleur de la fuite reste incertaine, ajoutant qu’elle “a conseillé aux utilisateurs d’être conscients des éventuelles tentatives de phishing”.