Bir havayolu şirketinin yolcularının tüm seyahat kayıtlarını hacker’lara açık hale getirmesi ciddi bir casusluk fırsatı yaratabilir. Ancak daha az dikkat çeken, ama belki de daha tehlikeli bir risk ise çok sayıda havayoluyla entegre çalışan premium bir seyahat hizmetinin kullanıcı verilerini ve uçuş bilgilerini koruyamamasıdır.
Siber güvenlik firması CyberX9, Birleşik Krallık merkezli Airportr hizmetinde ciddi güvenlik açıkları tespit etti. Bu hizmet, kullanıcıların valizlerini evden aldırıp doğrudan havaalanına veya varış noktalarına teslim ettirerek uçuş sürecini kolaylaştırıyor. Ancak basit web açıkları, kötü niyetli kişilere kullanıcıların kişisel bilgilerine erişim ve yönetici ayrıcalıkları kazandırabiliyordu.
Araştırmacılar, küçük bir örneklemde bile Birleşik Krallık, İsviçre ve ABD’den hükümet yetkililerine ait diplomatik pasaport verileri ve seyahat kayıtları bulduklarını belirtti. Bunlardan biri bir İngiliz büyükelçiydi, diğeri ise ABD hükümetinde siber güvenlik görevlisiydi.
CyberX9 CEO’su Himanshu Pathak, “Herhangi biri bu sistemlerde ‘süper yönetici’ yetkisi kazanabilir ve tüm kullanıcı verilerine, rezervasyonlara ve bagajlara tam erişim sağlayabilirdi,” dedi. Bu da yalnızca veri hırsızlığı değil, bagaj yönlendirme ve çalma gibi operasyonel riskleri de beraberinde getiriyor.
Airportr CEO’su Randel Darby, bu açıkların etik hackerlar tarafından tespit edildiğini ve sistemin ilgili bölümünün hemen devre dışı bırakıldığını doğruladı. Ancak araştırmacılar, açıkların basitliği nedeniyle başka kötü niyetli kişilerin de sisteme daha önce erişmiş olabileceğine dikkat çekiyor.
E-posta adresi bilinen herhangi bir kullanıcının parolası kolayca değiştirilebiliyor, ayrıca sistemde e-posta adresleri sınırsız şekilde denenebiliyordu. Araştırmacılar ayrıca yöneticilere ait e-posta adreslerine ulaşıp bu hesapları da ele geçirebildi.
Bu açıklar sayesinde erişilebilen veriler arasında ad, telefon numarası, adres, seyahat geçmişi, bilet bilgileri, pasaport görselleri ve imzalar yer alıyordu. Hatta sistem üzerinden Airportr adıyla sahte e-posta ve SMS göndererek kimlik avı saldırıları yapılabilecek durumdaydı.
Airportr, bugüne dek 800.000’den fazla bagaj taşıdığını ve 92.000 kullanıcıya hizmet verdiğini belirtiyor. Ancak şirket, bu güvenlik açıklarını zamanında havayolu iş ortaklarına bildirmediğini kabul etti. Sadece kamuoyunda haberin çıkmasından sonra İngiltere Bilgi Komiserliği Ofisi’ni (ICO) bilgilendirme kararı aldı.
Airportr’ın iş ortakları arasında American Airlines, British Airways, Lufthansa ve Virgin Atlantic gibi büyük havayolları bulunuyor. Ancak sadece Birleşik Krallık, Almanya, İsviçre ve Avusturya’daki uçuşlarda hizmet veriyor. Lufthansa, bu tür üçüncü taraf veri ihlallerini titizlikle araştırdıklarını belirten kısa bir açıklama yaptı.
Araştırmanın başındaki uzman, Airportr’ın hassas görevleri olan bir hizmet olduğunu fark ettiklerinde sistemi test etmeye karar verdiklerini söyledi. Test sürecinde açıkları çok kısa sürede bulduklarını da vurguladı.
Araştırmacılar, kullanıcı parolası oluştururken tarayıcıdaki veri alışverişini izleyip elde ettikleri API anahtarıyla herhangi bir kullanıcının parolasını değiştirebildiklerini belirtti. Ayrıca yönetici hesaplarına ait e-posta adreslerini bularak tam yetkiyle sistemin kontrolünü de ele geçirdiler.
Darby, teorik olarak yönetici erişimi sağlanabileceğini ancak bu erişimlerin alarm tetiklemeden kullanılmasının zor olduğunu savundu. Ancak araştırmacılar, bu erişimlerin gerçek ve fiili olduğunu, şirketin bu durumdan haberdar bile olmadığını söyledi.
Pathak, asıl tehlikenin havayollarından değil, onların yönlendirdiği küçük, bağımsız hizmetlerden kaynaklandığını belirtiyor: “Yolcu olarak bu hizmetlere güveniyoruz çünkü havayolu öneriyor. Ancak veri güvenliği, en zayıf halka kadar güçlüdür.”
