Akasa Air, la piccola compagnia indiana con sede a Mumbai, fondata a dicembre 2021 e operativa dallo scorso 7 di Agosto, è stata vittima di una data breach.
Come riportato dal periodico The Hindu, la compagnia aerea è venuta a conoscenza di un problema tecnico che ha causato la perdita di dati relativa ai sistemi di registrazione e accesso al proprio portale online, rendendo disponibili le informazioni ricevute al momento della prenotazione dei biglietti, come nomi e cognomi, genere, data di nascita, indirizzi email e numeri di telefono dei passeggeri.
Nel comunicato diffuso sul proprio sito internet il 28 agosto, ha poi aggiunto che le informazioni relative alle tratte effettuate e i dettagli afferenti i metodi di pagamento non sono stati oggetto della fuga di dati, puntualizzando che non vi siano prove di un utilizzo indebito delle informazioni carpite.
Riavvolgendo il nastro, il 25 agosto la compagnia aerea, non appena avuto contezza di quel che era successo, dopo aver temporaneamente bloccato l’accesso all’area clienti del proprio sito, ha prontamente notificato l’accaduto all’Indian Computer Emergency Response Team (CERT-In) ed ha contestualmente inviato agli utenti interessati una comunicazione via email, pubblicata anche sul proprio portale, riguardante l’incidente occorso ed i tentativi di phishing a cui potrebbero essere esposti.
La vulnerabilità è stata scoperta dall’analista informatico Ashutosh Barot – che poco tempo prima aveva trovato un bug al sistema gestionale della compagnia di navigazione e logistica Shipyaari – che l’ha diffusa sul proprio blog attraverso un post dal titolo “How I (ethically) hacked an Airline on its inaugural day”, titolo che di certo non lascia spazio ad interpretazioni di sorta.
Come ammesso da lui stesso, non era la prima volta che si dedicava a bug bounty sui siti di compagnie aeree, avendo ricevuto più volte ricompense, tanto in denaro quanto in miglia, per le vulnerabilità scoperte sul portale della United Airlines.
Dopo essersi registrato al sito creando una propria utenza, ha intercettato le richieste HTTP e le risposte, trovando una richiesta HTTP contenente i suoi dati in formato .json. Modificando alcuni parametri, nel giro di mezz’ora è stato in grado di avere le informazioni di identificazione personale di tutti gli utenti registrati al sito fino a quel momento.
Non senza qualche difficoltà, non riuscendo a trovare indirizzi email del security/IT team o quantomeno indirizzi certificati, Ashutosh ha comunicato alla compagnia aerea la vulnerabilità, portando la stessa – come detto precedentemente – a sospendere il portale di registrazione per gli acquisti online e notificare l’incidente informatico.
