วันที่รายงาน : 2 ก.ย. 65 [TLP: CLEAR (white empty circle)]
เรื่อง : สายการบิน Akasa Air ของอินเดีย พบข้อมูลส่วนบุคคลของผู้โดยสารรั่วไหล
แหล่งข่าว : https://thehackernews.com/2022/08/indias-newest-airline-akasa-air-suffers.html
วันที่แหล่งข่าวเผยแพร่ : 30 ส.ค. 65

สาระสำคัญ : Akasa Air สายการบินพาณิชย์ใหม่ล่าสุดของอินเดีย ได้มีการเปิดเผยข้อมูลส่วนบุคคลของลูกค้าซึ่งบริษัทอ้างว่าเกิดจากข้อผิดพลาดทางเทคนิค โดยนักวิจัยด้านความปลอดภัย Ashutosh Barot กล่าวว่าปัญหานี้ เกิดจากการลงทะเบียนบัญชี ซึ่งนำไปสู่การเปิดเผยรายละเอียดต่างๆ เช่น ชื่อ เพศ ที่อยู่อีเมล และหมายเลขโทรศัพท์

ช่องโหว่ดังกล่าวถูกพบเมื่อวันที่ 7 สิงหาคม 2022 โดย Ashutosh Barot ซึ่งพบคำขอ HTTP ที่มีการระบุชื่อ อีเมล หมายเลขโทรศัพท์ เพศ ฯลฯ ในรูปแบบ JSON และหลังจากที่เขาทำการเปลี่ยนข้อมูลบางอย่างในคำขอ เขาพบ PII ของผู้ใช้งานรายอื่น ซึ่งมันใช้เวลาประมาณ 30 นาที ในการพบปัญหานี้

บริษัท Akasa Air ได้ปิดระบบบางส่วนชั่วคราวเพื่อรักษาความปลอดภัยเพิ่มเติม นอกจากนี้ยังได้รายงานเหตุการณ์ดังกล่าวไปยังทีมรับมือเหตุฉุกเฉินทางคอมพิวเตอร์ของอินเดีย (CERT-In) และกล่าวเสริมอีกว่าไม่มีข้อมูลที่เกี่ยวข้องกับการเดินทางหรือรายละเอียดการชำระเงินและยังไม่พบหลักฐานว่าช่องโหว่นี้ถูกนำไปใช้ประโยชน์บางอย่างในคำขอ

NCERT Infoshare beta version (ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ ศปช.) สกมช.