アカサ航空、今月初めに運航を開始したインドの新しく設立された航空会社は、ログインとサインアップサービスに影響を与える技術的な不具合のために、何千人もの顧客の個人データを公開しました.
サイバーセキュリティ研究者が発見した公開データ アシュトーシュ・バロットには、アカサ航空のウェブサイトにサインアップおよびログインしている顧客の氏名、性別、電子メール アドレス、電話番号が含まれていました。
研究者は、8 月 7 日の就航日に Akasa Air の Web サイトを見た数分後に、データを開示する HTTP リクエストを見つけました。彼は当初、ムンバイに本拠を置く航空会社のセキュリティ チームと直接通信しようとしましたが、直接の連絡先は見つかりませんでした。
「私は公式の Twitter アカウントを介して航空会社に連絡し、問題を報告するための電子メール ID を求めました。 サポート スタッフまたはサード パーティ ベンダーによって処理される可能性があるため、脆弱性の詳細を共有しなかった info@akasa の電子メール ID が提供されました。 それで、私は彼らにもう一度メールを送って尋ねました [the airline] 提供する [the] セキュリティ チームの誰かの電子メール アドレス。 アカサからそれ以上の連絡はありませんでした」と研究者は言いました。
どうすればセキュリティチームとつながることができるかについて、航空会社から回答を得られなかった後、研究者は TechCrunch にこの問題について報告した.
Akasa Air は、この問題により 34,533 の一意の顧客レコードが危険にさらされていることを確認したところ、迅速に対応してくれました。 航空会社はまた、公開されたデータには旅行関連の情報や支払い記録は含まれていないと述べた.
この事件を知ったアカサ航空は、サインアップサービスを閉鎖した。 航空会社はまた、一般大衆へのサービスを再開する前に、追加の制御を追加したと述べました.
さらに、航空会社はTechCrunchに、すべてのシステムのセキュリティを確保するために追加のレビューを実施したと語った.
Akasa Air は、この事件をインドのノード サイバーセキュリティ機関 CERT-In に報告し、影響を受けたユーザーに声明を通じて通知しました。 公表された 日曜日に。 データが露出しているため、「フィッシング攻撃の可能性に注意する」ようユーザーにアドバイスしました。 さらに、データへの「不当なアクセスの急増」は見られなかったことを TechCrunch に確認しました。
「Akasa Air では、システムのセキュリティと顧客情報の保護が最も重要であり、常に安全で信頼できる顧客体験を提供することに重点を置いています。 このような性質のインシデントを防ぐために広範なプロトコルが導入されていますが、すべてのシステムのセキュリティをさらに強化するために追加の対策を講じています. Akasa Air の共同創設者兼最高情報責任者である Anand Srinivasan 氏は次のように述べています。問題に関する準備された声明。
「航空会社がすぐに問題を修正し、CERT-In に報告し、顧客にこの事件について通知したことを嬉しく思います。これは模範的な措置です」と研究者は述べています。
インドでは、今月初めにデータ保護法案の最後の繰り返しを撤回しました. 国内の多くの国内企業も、システムの欠陥を発見するのに役立つ研究者に賞を与え、奨励するための専用プログラムを持っていません。