Pegasus Havayollarının yanlış yapılandırılan bir AWS paketi nedeniyle, uçuş verilerinin ve uçuş ekibinin kişisel bilgilerini sızdırdığı ortaya çıktı. Bilgiyi, Güvenlik karşılaştırma sitesi SafetyDetectives yayınladı.
SafetyDetectives’den bir araştırma ekibi, 28 Şubat’ta bulut veri deposunun tamamen açık bırakıldığını keşfetti. Sızdırılan bilgilerin bir kısmının izini Pegasus Havayolları tarafından geliştirilen Elektronik Uçuş Çantası (EFB) yazılımına kadar takip etti. EFB’ler, uçuşları için gerekli referans materyallerini sağlayarak havayolu mürettebatının verimliliğini optimize etmek için tasarlanmış bilgi yönetimi araçlarıdır.
Pakette yaklaşık 23 milyon dosya yani toplamda yaklaşık 6,5 TB’lık sızdırılmış veri olduğu görüldü. Sızan hassas uçuş verilerini arasında, uçuş çizelgeleri ve revizyonları; sigorta belgeleri; uçuş öncesi kontroller sırasında bulunan sorunların ayrıntıları ve mürettebat vardiyaları hakkında bilgi bulunuyor.
1,6 milyondan fazla dosya, fotoğraflar ve imzalar da dahil olmak üzere havayolu mürettebatına ilişkin kişisel bilgileri (PII) içeriyordu. Ayrıca Pegasus’un EFB yazılımının kaynak kodu da bulundu. Mürettebat üyeleri için olası gizlilik etkilerinin yanı sıra SafetyDetectives, sızıntının kötü niyetli aktörlerin son derece hassas bilgilere erişmesine izin vermiş olabileceğini tahmin ediyor :
“Kötü niyetli kişiler, PegasusEFB’nin kutusunda bulunan şifreleri ve gizli anahtarları kullanarak hassas uçuş verileri ve ekstra hassas dosyalara müdahale edebilir. Pilotların önümüzdeki uçuşlar için paketteki dosyaları kullanacağından emin olamasak da, dosyaların içeriğini değiştirmek potansiyel olarak önemli EFB bilgilerinin havayolu personeline ulaşmasını engelleyebilir ve yolcuları ve mürettebatı riske atabilir.
Güncel ve muhtemelen ilgili uçuş verilerini içeren milyonlarca dosya nedeniyle, ne yazık ki bir saldırgan PegasusEFB’nin paketini bulduğunda zarar vermek için çok sayıda seçeneğe sahip olabilir.”
Raporda, mürettebat üyelerinin de organize suç gruplarının baskısına maruz kalabileceği ve veri deposunda yer alan bilgilerin kötü aktörlerin havaalanı ve havayolu güvenliğindeki zayıflıkları belirlemesine yardımcı olabileceği iddia edildi.
Ancak herhangi bir kötü niyetli kişinin hazineyi araştırma ekibinden önce bulduğuna dair bir belirti yok. SafetyDetectives, 1 Mart’ta Pegasus Havayolları’na bildirimde bulunduktan sonra sızıntının yaklaşık üç hafta sonra giderildiğini kaydetti.