Dolar

34,9466

Euro

36,7211

Altın

2.977,22

Bist

10.125,46

Pegasus Havayollarında siber güvenlik açığı

Güvenli olmayan bir bulut veri deposu, havayolunun yazılımından önemli bilgileri çevrimiçi olarak açıkta bıraktı.

3 Yıl Önce Güncellendi

2022-06-20 20:19:17

Pegasus Havayollarında siber güvenlik açığı

Türk havayolu Pegasus tarafından geliştirilen yazılımdaki bir güvenlik açığı, çevrimiçi olarak 6,5 terabayt verinin açığa çıkmasına neden oldu. Uçuş ekibinin kişisel bilgilerini de içeren 23 milyon dosyadan oluşan veri ihlalinin, Amazon'un bulut hizmeti AWS'de yanlış yapılandırılmış bir ' kova'dan kaynaklandığı düşünülüyor.

Güvenlik sağlayıcısı Safety Detectives tarafından tespit edilen veriler, şirketin uçak navigasyonu, kalkış ve iniş ve yakıt ikmali ile diğer güvenlik prosedürleri ve çeşitli uçuş içi süreçler için kullanılan EFB yazılımından geliyor.

Safety Detectives, Pegasus'un bu yazılımı, her ikisi de ihlalden etkilenebilecek olan Turkish IZ Air ve Kyrgystani Air Manas adlı diğer iki havayoluna sattığını söyledi.

Pegasus Havayolu veri ihlali nasıl gerçekleşti?

AWS müşterileri tarafından ilgili verileri ve nesneleri depolamak için bir paket kullanılır. Pegasus EFB kovasının güvenlik ayarları yanlış yapılandırılmış, yani açık bırakılmış ve herkes tarafından kolayca erişilebilir durumdaydı.

İhlal, araştırmacılarının güvenli olmayan veri depolarını bulmak için web tarayıcılarını kullandığı büyük ölçekli bir web haritalama projesinin parçası olarak Safety Detectives tarafından keşfedildi.

Safety Detectives'e göre, mevcut bilgiler arasında uçuş çizelgeleri ve navigasyon materyalleri ile mürettebatın kişisel bilgileri yer alıyordu. Ayrıca, yazılım için kaynak kodunun yanı sıra düz metin şifreleri ve gizli anahtarları olan yaklaşık 400 dosya içeriyordu.

Güvenlik şirketi, "Bu dosyalar erişilebilir bırakıldı ve herkesin kovadaki ek şifreli veritabanlarına, dosyalara ve klasörlere verileri silmesine, değiştirmesine veya yüklemesine izin verebilir" dedi.

Güvenli olmayan AWS paketlerinin tehlikeleri

Pegasus, verileri yetersiz şekilde korunan bir AWS paketi tarafından açığa çıkaran ilk kuruluş değil. Ağustos 2020'de güvenlik araştırmacısı Bob Diachenko, güvenli olmayan bir AWS kovasında çevrimiçi olarak açığa çıkan bir tıbbi teknoloji şirketi Adit'ten kaynaklandığı düşünülen 3,1 milyon hasta kaydı keşfetti.

2017'de korumasız bir AWS bulut paketi, hem ABD ordusu hem de NSA bünyesinde faaliyet gösteren bir istihbarat kuruluşu olan ABD İstihbarat ve Güvenlik Komutanlığına ait 100 GB'lık gizli verileri ifşa etti.

Kaynak: Techmonitor, Claudia Glover

Haber Ara