本月初開始商業運營的印度阿卡薩航空公司(Akasa Air)由於註冊登陸服務中的技術故障,導致數千名用戶的個人數據被披露。這些披露的數據是由阿舒托什·巴羅特(Ashutosh Barot)發現的,其中包括客戶全名、性別、電子郵件地址、手機號碼等等。
在阿卡薩航空公司網站於 8 月 7 日成立上線之後,巴羅特在幾分鐘之後就發現了 HTTP 請求漏洞。他最初試圖直接與這家總部位於孟買的航空公司的安全團隊溝通,但沒有找到直接聯繫人。
這位研究專家表示:“我通過他們的官方Twitter賬戶聯繫了航空公司,要求他們提供一個電子郵件 ID 來報告這個問題。他們給了我 [email protected] 電子郵件 ID,我沒有向其分享漏洞詳細信息,因為它可能由支持人員或第三方供應商處理。所以,我再次給他們發了電子郵件,並要求 [航空公司] 提供他們安全團隊中某人的 [the] 電子郵件地址。我沒有收到來自 Akasa 的進一步通信”。
在沒有得到航空公司關於他如何與安全團隊聯繫的回應后,研究人員向 TechCrunch 通報了這個問題。在 TechCrunch 聯繫之後,該航空公司承認確實存在該問題,導致 34,533 條客戶記錄面臨風險。該航空公司還表示,暴露的數據不包括與旅行相關的信息或支付記錄。該航空公司告訴 TechCrunch,它進行了額外的審查,以確保其所有系統的安全性。
