Akasa AirIndiens neu gegründete Fluggesellschaft, die Anfang dieses Monats ihren Betrieb aufnahm, hat die persönlichen Daten von Tausenden ihrer Kunden aufgrund eines technischen Fehlers offengelegt, der ihren Anmelde- und Anmeldedienst beeinträchtigte.
Die exponierten Daten, die von Cybersicherheitsforschern entdeckt wurden Ashutosh Baroteinschließlich vollständiger Namen, Geschlecht, E-Mail-Adressen und Telefonnummern von Kunden, die sich auf der Akasa Air-Website registrieren und anmelden.
Der Forscher fand eine HTTP-Anfrage, die die Daten Minuten nach dem Besuch der Website von Akasa Air am Eröffnungstag am 7. August offenlegte. Er hatte zunächst versucht, direkt mit dem Sicherheitsteam der in Mumbai ansässigen Fluggesellschaft zu kommunizieren, fand jedoch keinen direkten Kontakt.
„Ich habe mich über ihren offiziellen Twitter-Account an die Fluggesellschaft gewandt und sie um eine E-Mail-ID gebeten, um das Problem zu melden. Sie gaben mir die info@akasa-E-Mail-ID, an die ich die Schwachstellendetails nicht weitergegeben habe, da sie möglicherweise von Supportmitarbeitern oder Drittanbietern bearbeitet werden. Also habe ich nochmal eine E-Mail geschrieben und nachgefragt [the airline] bereitstellen [the] E-Mail-Adresse von jemandem aus ihrem Sicherheitsteam. Ich habe keine weitere Mitteilung von Akasa erhalten“, sagte der Forscher.
Nachdem er von der Fluggesellschaft keine Antwort darauf erhalten hatte, wie er sich mit dem Sicherheitsteam in Verbindung setzen kann, informierte der Forscher Tech über das Problem.
Akasa Air reagierte schnell, als wir uns meldeten und bestätigten, dass das Problem 34.533 einzelne Kundendatensätze gefährdet hatte. Die Fluggesellschaft sagte auch, dass die offengelegten Daten keine reisebezogenen Informationen oder Zahlungsaufzeichnungen enthielten.
Als Akasa Air auf den Vorfall aufmerksam wurde, stellte es seinen Anmeldedienst ein. Die Fluggesellschaft sagte auch, dass sie zusätzliche Kontrollen hinzugefügt habe, bevor sie ihren Dienst für die breite Öffentlichkeit wieder aufgenommen habe.
Darüber hinaus teilte die Fluggesellschaft Tech mit, dass sie zusätzliche Überprüfungen durchgeführt habe, um die Sicherheit aller ihrer Systeme zu gewährleisten.
Akasa Air meldete den Vorfall der indischen Knotenpunkt-Cybersicherheitsbehörde CERT-In und benachrichtigte die betroffenen Benutzer durch eine Erklärung, dass dies ebenfalls der Fall sei öffentlich gemacht am Sonntag. Es riet den Benutzern, sich wegen der Offenlegung von Daten „möglicher Phishing-Versuche bewusst zu sein“. Darüber hinaus bestätigte es gegenüber Tech, dass es keinen „unerwünschten Anstieg des Zugriffs“ auf die Daten gesehen habe.
„Bei Akasa Air stehen die Systemsicherheit und der Schutz von Kundeninformationen an erster Stelle, und unser Fokus liegt darauf, stets ein sicheres und zuverlässiges Kundenerlebnis zu bieten. Obwohl umfangreiche Protokolle vorhanden sind, um Vorfälle dieser Art zu verhindern, haben wir zusätzliche Maßnahmen ergriffen, um sicherzustellen, dass die Sicherheit aller unserer Systeme noch weiter verbessert wird. Wir werden unsere robusten Sicherheitsprotokolle weiterhin aufrechterhalten und wo immer möglich mit Partnern, Forschern und Sicherheitsexperten zusammenarbeiten, von denen wir profitieren können, um unsere Systeme zu stärken“, sagte Anand Srinivasan, Mitbegründer und Chief Information Officer bei Akasa Air, in einer Mitteilung vorbereitete Stellungnahme zu diesem Thema.
„Ich bin froh, dass die Fluggesellschaft das Problem kurzfristig behoben und CERT-In gemeldet sowie ihre Kunden über den Vorfall informiert hat, was ein vorbildlicher Schritt ist“, sagte der Forscher.
Vorfälle von Datenoffenlegung und Datenlecks werden in Indien immer häufiger, das die letzte Iteration seines Datenschutzgesetzes Anfang dieses Monats zurückgezogen hat. Eine Reihe von inländischen Unternehmen im Land haben auch keine speziellen Programme, um Forscher zu belohnen und Anreize zu schaffen, die helfen, Fehler in ihren Systemen zu finden.