インドで最も新しい民間航空会社であるAkasa Airが、顧客の個人情報を流出させ、同社はその原因を技術的な設定ミスと言い訳しています。
セキュリティ研究者のAshutosh Barot氏によると、この問題はアカウント登録プロセスにあり、名前、性別、電子メールアドレス、電話番号などの詳細が暴露されるに至ったとのことです。
このバグは、航空会社が同国での運航を開始した2022年8月7日に確認されました。
「名前、電子メール、電話番号、性別などをJSON形式で伝えるHTTPリクエストを見つけた 」とBarotは書き込みで述べています。「私はすぐにリクエストのパラメータを変更し、他のユーザーの個人情報を見ることができました。この問題を発見するのに約30分かかりました。」
報告を受けた同社は、セキュリティ対策を追加で組み込むため、システムの一部を一時的に停止したという。また、インドのコンピュータ緊急対応チーム(CERT-In)にも報告した。
Akasa Airは、旅行関連情報や支払いに関する詳細がアクセス可能な状態になったことはなく、この不具合が野放しにされていたことを示す証拠はないと強調した。
さらに同航空会社は、流出の規模はまだ不明だが、影響を受けたユーザーに直接通知したと述べ、"フィッシングの可能性に注意するようユーザーに助言した "と付け加えた。