Hong Kong merkezli havayolu kuruluşu Cathay Pacific’te 9.4 milyon yolcuya ilişkin verilerin sızdığı ortaya çıktı. Havacılık sektöründe meydana gelen en büyük veri sızıntısı olarak değerlendirilen bu güvenlik ihlali, Air Canada ve British Airways’dekilerden sonra iki ay içinde havacılık sektöründe meydana gelen üçüncü benzer olay olarak kaydedildi. Bilgi güvenliği şirketi Eset, konuyu mercek altına aldı.
Cathay Pacific Havayolları, siber suçluların Cathay ve alt şirketi Hong Kong Dragon Airlines Limited yolcularından oluşan 9.4 milyon kişinin kişisel verilerine eriştiği bir güvenlik ihlali yaşandığını duyurdu. Olay sonrasında yapılan açıklamaya göre veri sızıntısı sonucunda yolcu isimleri, uyruk bilgileri, doğum tarihleri, telefon numaraları ve e-posta adresleri gibi pek çok nitelikli kişisel veri ele geçirildi.
Şirketin Hong Kong borsası için yaptığı açıklamada sızıntının 860 bin pasaport numarası, 245 bin Hong Kong kimlik numarası, 403 tarihi geçmiş kredi kartı numarası ve doğrulama kodu olmayan 23 kredi kartı numarasından oluştuğu belirtildi. Ayrıca sık uçan yolcuların program üyelik numaraları, tarihsel seyahat bilgileri ve müşteri hizmetleri yorumlarına da erişildi. Ancak bu arada hiçbir şifreye erişilmediğine inanılıyor.
Sızıntının nasıl oluştuğu belirsiz
Saldırganların Cathay sistemlerine nasıl girdiği hakkında herhangi bir bilgi yok. Ancak havayolu şirketi, ihlalin ilk olarak Mart ayında keşfedildiğini ve Mayıs 2018’de teyit edildiğini söyledi. Cathay tarafından yapılan açıklamada, “Şirket olay tespit edilir edilmez, konuyu araştırmak ve olaya dahil olmak üzere harekete geçti. Şirketin elinde herhangi bir kişisel bilginin amacı dışında kullanıldığına dair bir kanıt bulunmuyor” ifadelerine yer verildi.
Niye geç duyuruldu?
Olayı kamuoyuna duyurmanın neden birkaç ay sürdüğü konusunda Cathay Pacific, Computer Weekly tarafından yayınlanan bir açıklamada şunları dile getirdi: “Paylaşacak doğru bilgiye sahip olmanın önemli olduğuna inanıyoruz; ancak bu şekilde insanlar gerçekleri bilebilir ve biz de onları doğru yönde destekleyebiliriz.”
Air Canada veBritish Airways’de de yaşandı
Bu, son iki ay içerisinde havacılık sektörünü vuran üçüncü veri sızıntısı. Ağustos sonunda Air Canada’nın mobil uygulamasında yaşanan güvenlik ihlali 20 bin yolcunun verilerini açığa çıkardı. Bir hafta sonra ise British Airways, 380 bin ödeme kartının bilgilerine erişilerek, kullanıcı verileninin çalındığını açıkladı. Ancak Cathay Pacific Havayolları’nda yaşanan 9.4 milyon kişiye ait sızıntı, havacılık sektörünün en büyük veri sıkıntısı olarak değerlendiriliyor. Konunun, havayolu merkezinin bulunduğu Hong Kong’un nüfusundan daha fazla kişiyi etkilediğine dikkat çekiliyor.
