Akasa Air, la aerolínea recién lanzada de India que comenzó a operar a principios de este mes, expuso los datos personales de miles de sus clientes debido a una falla técnica que afectó su servicio de inicio de sesión y registro.
Los datos expuestos, descubiertos por investigador de ciberseguridad Ashutosh Barotincluía los nombres completos, el sexo, las direcciones de correo electrónico y los números de teléfono de los clientes que se registraban e iniciaban sesión en el sitio web de Akasa Air.
El investigador encontró una solicitud HTTP que revelaba los datos minutos después de consultar el sitio web de Akasa Air en su día inaugural el 7 de agosto. Inicialmente había intentado comunicarse directamente con el equipo de seguridad de la aerolínea con sede en Mumbai, pero no encontró un contacto directo.
“Me comuniqué con la aerolínea a través de su cuenta oficial de Twitter y les pedí una identificación de correo electrónico para informar el problema. Me dieron el ID de correo electrónico info@akasa al que no compartí los detalles de la vulnerabilidad porque podría ser manejado por personal de soporte o proveedores externos. Entonces, les envié un correo electrónico nuevamente y les pregunté [the airline] Para proveer [the] dirección de correo electrónico de alguien de su equipo de seguridad. No recibí más comunicación de Akasa”, dijo el investigador.
Después de no recibir una respuesta de la aerolínea sobre cómo puede conectarse con el equipo de seguridad, el investigador informó a TechCrunch sobre el problema.
Akasa Air respondió rápidamente cuando nos comunicamos y reconocimos que el problema había puesto en riesgo 34 533 registros de clientes únicos. La aerolínea también dijo que los datos expuestos no incluían información relacionada con viajes ni registros de pago.
Al enterarse del incidente, Akasa Air cerró su servicio de registro. La aerolínea también dijo que agregó controles adicionales antes de reanudar su servicio al público en general.
Además, la aerolínea le dijo a TechCrunch que realizó revisiones adicionales para garantizar la seguridad de todos sus sistemas.
Akasa Air informó del incidente a la agencia nodal de ciberseguridad de India, CERT-In, y notificó a sus usuarios afectados a través de un comunicado que también hizo público el domingo. Aconsejó a los usuarios «ser conscientes de posibles intentos de phishing» debido a la exposición de datos. Además, confirmó a TechCrunch que no vio un «aumento adverso en el acceso» a los datos.
“En Akasa Air, la seguridad del sistema y la protección de la información del cliente es primordial, y nuestro enfoque es brindar siempre una experiencia segura y confiable para el cliente. Si bien existen amplios protocolos para prevenir incidentes de esa naturaleza, hemos tomado medidas adicionales para garantizar que la seguridad de todos nuestros sistemas se mejore aún más. Continuaremos manteniendo nuestros sólidos protocolos de seguridad, interactuando donde corresponda, con socios, investigadores y expertos en seguridad de los que podemos beneficiarnos para fortalecer nuestros sistemas”, dijo Anand Srinivasan, cofundador y director de información de Akasa Air, en un comunicado. declaración preparada sobre el asunto.
“Me alegro de que la aerolínea solucionara el problema con poca antelación y lo informara al CERT-In, además de informar a sus clientes sobre el incidente, lo cual es un paso ejemplar”, dijo el investigador.
Los incidentes de exposición y fuga de datos se están volviendo comunes en India, que retiró la última iteración de su proyecto de ley de protección de datos a principios de este mes. Varias empresas nacionales del país tampoco cuentan con programas específicos para premiar e incentivar a los investigadores que ayuden a encontrar fallas en sus sistemas.