Kanadalı havayolu şirketi Air Canada, mobil uygulamasındaki bir açık kullanılarak gerçekleştirilen veri sızıntısı nedeniyle ciddi bir güvenlik kriziyle karşı karşıya. 1,7 milyon kullanıcıya ait verilerin yer aldığı sunucuya erişen hackerlerin, 20.000 kullanıcı verisini ele geçirdiği düşünülüyor. 

Kanadalı havayolu şirketi Air Canada, 1,7 milyon kullanıcıya hizmet verdiği mobil uygulamasındaki bir güvenlik açığı nedeniyle veri sızıntısıyla karşı karşıya kaldı. Air Canada’ya ait mobil uygulamayı hedef alan saldırganlar, 20.000 kişiye ait hassas veriyi ele geçirdi. Şirketin açıklamasına göre çalınan veriler arasında kullanıcı isimleri, telefon numaraları, mail adresleri ve pasaport numaraları gibi hassas bilgiler yer alıyor. Veri sızıntısının şirketler için ciddi ve uzun süreli sonuçlar yaratacağının altını çizen Bitdefender Antivirüs, şirketlere önemli uyarılarda bulunuyor.

Air Canada’nın yayınladığı güvenlik açıklamasında, anormal hesap hareketlerinin 22 - 24 Ağustos tarihleri arasında gerçekleştiği ve 1,7 milyon kullanıcı arasından 20.000 adet profile yetkisiz olarak erişildiği belirtiliyor. Şirket, bu sayının kullanıcıların sadece %1’ine denk geldiğini vurgulasa da bu durum, bilgileri ele geçirilmiş kullanıcıları rahatlatmaya yetmiyor.

Ele geçirilen hassas bilgiler kullanıcıların isimleri, telefon numaraları, mail adresleri, pasaport numaraları, mail adresleri, pasaportlarının teslim yeri, milliyetleri, cinsiyetleri, NEXUS numaraları, ikamet ettikleri ülke ve doğum tarihleri gibi çok geniş bir kapsama yayılıyor.

Her ne kadar uygulamanın kredi kartı bilgilerini şifreli halde depoladığı ve hackerlerin bu sayede onlara ulaşamadığı belirtilse de pasaport bilgileri çalınmış olan kurbanların da yakın zamanda ciddi sorunlarla karşı karşıya gelebileceği biliniyor. Siber saldırganlar bankalar, sigorta firmaları, cep telefonu operatörleri gibi pasaportun aslını fiziksel olarak göstermenin bir gereklilik olmayabileceği kurumlarda, bu bilgiler aracılığıyla hesap oluşturarak pek çok işlem gerçekleştirebiliyor. Kurbanların hayatı, vahim boyutlardaki kredi kartı faturaları gibi sorunlarla uzun süre kabusa dönüşebiliyor.

SAHTE PASAPORT İÇİN KULLANILABİLİR

Daha tehlikeli bir risk olarak ise, dolandırıcıların çaldıkları bilgiyi yeni bir fiziksel pasaport edinme için kullanabilecekleri fikri akıllara geliyor. Ancak havayolu şirketi, Kanada devletinin böyle bir riski düşük bulduğunu çünkü kuralların, orijinal pasaportu taşıyan kişiyi hala belgenin asıl sahibi olarak gösterdiğini belirtiyor. Diğer taraftan Air Canada’nın, Kanada devletinin resmi şifre tavsiyelerine aykırı davrandığına dikkat çekiliyor. Uygulama, hesaba giriş işlemleri için nadiren 6 ile 10 karakter arası şifre istiyor ve kullanıcıların değişik tipte semboller içermeyen, basit şifreler seçmesine izin verdiği için eleştiriliyor.

Uygulamadaki zayıf şifre özelliklerinin bu sızıntıda rol oynayıp oynamadığı kesin olarak bilinmiyor. Ancak vakanın ardından Air Canada, şifre güvenlik seviyesini artırma yoluna gitti. Kullanıcılar, havayolu şirketinin uygulamasına veya web sitesine bir sonraki girişlerinde yeni bir şifre seçmek durumunda kalacak.