Akasa Air, la nouvelle compagnie aérienne indienne qui a commencé ses opérations plus tôt ce mois-ci, a exposé les données personnelles de milliers de ses clients en raison d’un problème technique qui a affecté son service de connexion et d’inscription.
Les données exposées, découvertes par un chercheur en cybersécurité Ashutosh Barotcomprenaient les noms complets, le sexe, les adresses e-mail et les numéros de téléphone des clients s’inscrivant et se connectant sur le site Web d’Akasa Air.
Le chercheur a trouvé une requête HTTP divulguant les données quelques minutes après avoir consulté le site Web d’Akasa Air lors de sa première journée le 7 août. Il avait d’abord essayé de communiquer directement avec l’équipe de sécurité de la compagnie aérienne basée à Mumbai, mais n’a pas trouvé de contact direct.
« J’ai contacté la compagnie aérienne via son compte Twitter officiel, lui demandant un identifiant de messagerie pour signaler le problème. Ils m’ont donné l’identifiant de messagerie info@akasa auquel je n’ai pas partagé les détails de la vulnérabilité car il pourrait être géré par le personnel d’assistance ou des fournisseurs tiers. Donc, je leur ai envoyé à nouveau un e-mail et leur ai demandé [the airline] fournir [the] l’adresse e-mail d’un membre de son équipe de sécurité. Je n’ai reçu aucune autre communication d’Akasa », a déclaré le chercheur.
Après n’avoir pas reçu de réponse de la compagnie aérienne sur la manière dont il peut se connecter avec l’équipe de sécurité, le chercheur a informé TechCrunch du problème.
Akasa Air a rapidement réagi lorsque nous avons contacté et reconnu que le problème avait mis en danger 34 533 dossiers clients uniques. La compagnie aérienne a également déclaré que les données exposées n’incluaient pas d’informations relatives aux voyages ou d’enregistrements de paiement.
Informée de l’incident, Akasa Air a fermé son service d’inscription. La compagnie aérienne a également déclaré avoir ajouté des contrôles supplémentaires avant de reprendre son service au grand public.
De plus, la compagnie aérienne a déclaré à TechCrunch qu’elle effectuait des examens supplémentaires pour assurer la sécurité de tous ses systèmes.
Akasa Air a signalé l’incident à l’agence nodale indienne de cybersécurité CERT-In et a informé ses utilisateurs concernés par une déclaration qu’elle a également rendue publique dimanche. Il a conseillé aux utilisateurs « d’être conscients des éventuelles tentatives de phishing » en raison de l’exposition des données. En outre, il a confirmé à TechCrunch qu’il n’avait pas constaté de « pic d’accès fâcheux » aux données.
« Chez Akasa Air, la sécurité du système et la protection des informations client sont primordiales, et notre objectif est de toujours fournir une expérience client sécurisée et fiable. Bien que des protocoles étendus soient en place pour prévenir les incidents de cette nature, nous avons pris des mesures supplémentaires pour garantir que la sécurité de tous nos systèmes est encore renforcée. Nous continuerons à maintenir nos protocoles de sécurité robustes, en nous engageant, le cas échéant, avec des partenaires, des chercheurs et des experts en sécurité dont nous pouvons bénéficier pour renforcer nos systèmes », a déclaré Anand Srinivasan, co-fondateur et directeur de l’information chez Akasa Air. déclaration préparée à ce sujet.
« Je suis heureux que la compagnie aérienne ait résolu le problème dans un court délai et l’ait signalé à CERT-In et ait informé ses clients de l’incident, ce qui est une étape exemplaire », a déclaré le chercheur.
Les incidents d’exposition et de fuite de données deviennent courants en Inde, qui a retiré la dernière itération de son projet de loi sur la protection des données plus tôt ce mois-ci. Un certain nombre d’entreprises nationales dans le pays n’ont pas non plus de programmes dédiés pour récompenser et inciter les chercheurs à aider à trouver des failles dans leurs systèmes.