All’inizio di questo mese, Akasa Air, una nuovissima compagnia aerea indiana, ha visto compromesso il suo servizio di login e iscrizione, esponendo le informazioni personali di migliaia di clienti.
Nomi e cognomi, sesso, indirizzi e-mail e numeri di telefono dei consumatori che si sono registrati e hanno effettuato il check-in sul sito web di Akasa Air sono stati tra i dati esposti, rivelati dal ricercatore di cybersicurezza Ashutosh Barot.
Dopo aver visitato il sito web di Akasa Air il giorno dell’inaugurazione, il 7 agosto, il ricercatore ha scoperto una richiesta HTTP che rivelava i dati. In un primo momento ha cercato un modo per mettersi in contatto con il personale di sicurezza della compagnia aerea a Mumbai, ma non ci è riuscito.
Il mio primo contatto con la compagnia aerea è avvenuto tramite il suo account Twitter ufficiale, dove ho chiesto un ID e-mail da utilizzare per presentare un reclamo formale. Poiché i dipendenti dell’assistenza o i fornitori terzi potrebbero monitorare l’indirizzo e-mail info@akasa, ho deciso di non rivelare loro la vulnerabilità. Di conseguenza, ho scritto nuovamente [alla compagnia aerea] chiedendo i dettagli di contatto di un membro del personale di sicurezza. La ricercatrice ha detto di non aver avuto più notizie da Akasa.
Il ricercatore si è rivolto a TechCrunch dopo non aver ricevuto alcuna risposta dalla compagnia aerea su come poter contattare il personale di sicurezza.
Quando abbiamo contattato Akasa Air, la compagnia ha subito ammesso il problema e ci ha detto che le informazioni di 34.533 clienti erano state compromesse. La compagnia aerea ha anche chiarito che tra i file trapelati non c’erano dati relativi a pagamenti o viaggi.
Dopo aver appreso l’accaduto, Akasa Air ha immediatamente sospeso le registrazioni. Prima di riavviare il servizio pubblico, la compagnia aerea ha dichiarato di aver adottato nuove misure.
La compagnia aerea ha inoltre informato TechCrunch di aver condotto ulteriori valutazioni per garantire la sicurezza dei propri sistemi.
Domenica Akasa Air ha rilasciato una dichiarazione pubblica per informare i consumatori interessati e ha segnalato l’incidente al CERT-In, il principale organismo indiano per la sicurezza informatica. Gli utenti sono stati avvertiti di “essere consapevoli di eventuali tentativi di phishing” dovuti alla fuga di notizie. Inoltre, non si è verificato alcun “aumento anomalo degli accessi”, come verificato da TechCrunch.
“In Akasa Air prendiamo molto sul serio la sicurezza dei nostri sistemi e la privacy dei nostri clienti, e lavoriamo duramente per garantire che tutti i nostri clienti possano volare con noi in tutta tranquillità. Sebbene disponiamo già di solidi meccanismi per evitare eventi di questo tipo, abbiamo preso ulteriori precauzioni per aumentare la sicurezza di tutti i nostri sistemi”. In una dichiarazione preparata, il cofondatore e Chief Information Officer di Akasa Air, Anand Srinivasan, ha dichiarato: “Continueremo a mantenere i nostri solidi protocolli di sicurezza, impegnandoci, laddove possibile, con partner, ricercatori ed esperti di sicurezza da cui possiamo trarre vantaggio per rafforzare ulteriormente i nostri sistemi”.
Il ricercatore ha elogiato la compagnia aerea per la sua “mossa esemplare” di risolvere rapidamente il problema, segnalarlo al CERT-In e informare i passeggeri dell’accaduto.
Con la crescente frequenza di esposizione e violazione dei dati in India, all’inizio di questo mese il governo ha abbandonato la versione precedente di una legge sulla sicurezza dei dati. Molte aziende americane non dispongono di meccanismi formali per riconoscere e premiare i ricercatori che le aiutano a individuare le falle di sicurezza nei loro prodotti.