Hong Kong merkezli havayolu şirketi Cathay Pacific’te 9.4 milyon yolcunun verilerinin sızdığı ortaya çıktı. Bu güvenlik ihlali, havacılık sektöründe meydana gelen en büyük veri sızıntısı olarak değerlendirildi. Bu durum, son iki ay içerisinde Air Canada ve British Airways’dekilerden sonra meydana gelen üçüncü benzer olay olarak kaydedildi. Bilgi güvenliği şirketi ESET ise konuya ilgin araştırma başlattı.
Hangi bilgiler ele geçirildi?
Cathay Pacific Havayolları, siber suçluların, içerisinde Cathay ve alt şirketi Hong Kong Dragon Airlines Limited yolcularından oluşan 9.4 milyon kişinin verilerine erişildiği bir güvenlik ihlali yaşandığını duyurdu. Global bilgi güvenliği kuruluşu ESET’in mercek altına aldığı olay sonrasında yapılan açıklamaya göre veri sızıntısı sonucunda yolcu isimleri, uyruk bilgileri, doğum tarihleri, telefon numaraları ve e-posta adresleri gibi pek çok nitelikli kişisel veri ele geçirilmiş.
Şifrelere erişilemedi
Cathay Pacific Havayolları şirketinin Hong Kong borsası için yaptığı açıklamada, “860 bin pasaport numarası, 245 bin Hong Kong kimlik numarası, 403 tarihi geçmiş kredi kartı numarası ve doğrulama kodu olmayan 23 kredi kartı numarasının yanı sıra sık uçan yolcuların program üyelik numaraları, tarihsel seyahat bilgileri ve müşteri hizmetleri yorumlarına erişildi.” denildi. “Ancak hiçbir şifreye erişilmediğine inanıyoruz.” İfadesi kullanıldı.
Sızıntının nasıl olduğu bilinmiyor
Saldırganların Cathay sistemlerine nasıl eriştiği bilinmiyor. Ancak havayolu şirketi, ihlalin ilk olarak Mart ayında tespit edildiğini ve Mayıs 2018'de teyit edildiğini belirtti. Cathay tarafından yapılan açıklamada, “Şirket olay tespit edilir edilmez, konuyu araştırmak dahil olmak üzere harekete geçti. Şirketin elinde herhangi bir kişisel bilginin amacı dışında kullanıldığına dair kanıt yok." ifadelerine yer verildi.
Niye geç duyuruldu?
Olayı kamuoyuna açıklamanın neden birkaç ay sürdüğü konusunda Cathay Pacific, Computer Weekly’de yayınlanan açıklamalarında, “Paylaşacak doğru bilgiye sahip olmanın önemli olduğuna inanıyoruz; ancak bu şekilde insanlar gerçekleri bilebilir ve biz de onları doğru yönde destekleyebiliriz.” ifadesi yer alıyor.
İki ayda üçüncü saldırı
Cathay Pacific’e düzenlenen bu saldırı, son iki ay içerisinde havacılık sektörünü vuran üçüncü veri sızıntısı. Ağustos sonunda Air Canada’nın mobil uygulamasında yaşanan güvenlik ihlali 20 bin yolcunun verilerini açığa çıkarmıştı. British Airways ise bir hafta sonra, 380 bin ödeme kartının bilgilerine erişilerek, kullanıcı verileninin çalındığını açıklamıştı. Tüm bunlarla beraber Cathay Pacific Havayolları'na yapılan 9.4 milyon kişiye ait bu saldırı sızıntısı, havacılık sektörünün en büyük veri sıkıntısı olarak değerlendirildi. Saldırının, havayolu merkezinin bulunduğu Hong Kong'un nüfusundan daha fazla kişiyi etkilediğine dikkat çekiliyor.
