本月初開始商業運營的印度阿卡薩航空公司(AkasaAir)由於註冊登陸服務中的技術故障,導致數千名用戶的個人數據被披露。這些披露的數據是由阿舒托什·巴羅特(AshutoshBarot)發現的,其中包括客戶全名、性別、電子郵件地址、手機號碼等等。
在阿卡薩航空公司網站於 8 月 7 日成立上線之後,巴羅特在幾分鐘之後就發現 HTTP 請求漏洞。他最初試圖直接與這傢總部位於孟買的航空公司的安全團隊溝通,但沒有找到直接聯系人。
這位研究專傢表示:“我通過他們的官方Twitter賬戶聯系航空公司,要求他們提供一個電子郵件 ID 來報告這個問題。他們給我 info@akasa 電子郵件 ID,我沒有向其分享漏洞詳細信息,因為它可能由支持人員或第三方供應商處理。所以,我再次給他們發電子郵件,並要求 [航空公司] 提供他們安全團隊中某人的 [the] 電子郵件地址。我沒有收到來自 Akasa 的進一步通信”。
在沒有得到航空公司關於他如何與安全團隊聯系的回應後,研究人員向 TechCrunch 通報這個問題。在 TechCrunch 聯系之後,該航空公司承認確實存在該問題,導致 34,533 條客戶記錄面臨風險。該航空公司還表示,暴露的數據不包括與旅行相關的信息或支付記錄。該航空公司告訴 TechCrunch,它進行額外的審查,以確保其所有系統的安全性。