Pegasus Havayollarında siber güvenlik açığı
Güvenli olmayan bir bulut veri deposu, havayolunun yazılımından önemli bilgileri çevrimiçi olarak açıkta bıraktı.

Oluşturma Tarihi: 2022-06-20 20:19:17

Güncelleme Tarihi: 2022-06-20 20:19:17

Türk havayolu Pegasus tarafından geliştirilen yazılımdaki bir güvenlik açığı, çevrimiçi olarak 6,5 terabayt verinin açığa çıkmasına neden oldu. Uçuş ekibinin kişisel bilgilerini de içeren 23 milyon dosyadan oluşan veri ihlalinin, Amazon'un bulut hizmeti AWS'de yanlış yapılandırılmış bir ' kova'dan kaynaklandığı düşünülüyor.

Güvenlik sağlayıcısı Safety Detectives tarafından tespit edilen veriler, şirketin uçak navigasyonu, kalkış ve iniş ve yakıt ikmali ile diğer güvenlik prosedürleri ve çeşitli uçuş içi süreçler için kullanılan EFB yazılımından geliyor.

Safety Detectives, Pegasus'un bu yazılımı, her ikisi de ihlalden etkilenebilecek olan Turkish IZ Air ve Kyrgystani Air Manas adlı diğer iki havayoluna sattığını söyledi.

Pegasus Havayolu veri ihlali nasıl gerçekleşti?

AWS müşterileri tarafından ilgili verileri ve nesneleri depolamak için bir paket kullanılır. Pegasus EFB kovasının güvenlik ayarları yanlış yapılandırılmış, yani açık bırakılmış ve herkes tarafından kolayca erişilebilir durumdaydı.

İhlal, araştırmacılarının güvenli olmayan veri depolarını bulmak için web tarayıcılarını kullandığı büyük ölçekli bir web haritalama projesinin parçası olarak Safety Detectives tarafından keşfedildi.

Safety Detectives'e göre, mevcut bilgiler arasında uçuş çizelgeleri ve navigasyon materyalleri ile mürettebatın kişisel bilgileri yer alıyordu. Ayrıca, yazılım için kaynak kodunun yanı sıra düz metin şifreleri ve gizli anahtarları olan yaklaşık 400 dosya içeriyordu.

Güvenlik şirketi, "Bu dosyalar erişilebilir bırakıldı ve herkesin kovadaki ek şifreli veritabanlarına, dosyalara ve klasörlere verileri silmesine, değiştirmesine veya yüklemesine izin verebilir" dedi.

Güvenli olmayan AWS paketlerinin tehlikeleri

Pegasus, verileri yetersiz şekilde korunan bir AWS paketi tarafından açığa çıkaran ilk kuruluş değil. Ağustos 2020'de güvenlik araştırmacısı Bob Diachenko, güvenli olmayan bir AWS kovasında çevrimiçi olarak açığa çıkan bir tıbbi teknoloji şirketi Adit'ten kaynaklandığı düşünülen 3,1 milyon hasta kaydı keşfetti.

2017'de korumasız bir AWS bulut paketi, hem ABD ordusu hem de NSA bünyesinde faaliyet gösteren bir istihbarat kuruluşu olan ABD İstihbarat ve Güvenlik Komutanlığına ait 100 GB'lık gizli verileri ifşa etti.

Kaynak: Techmonitor, Claudia Glover

Antalya da Web Tasarımın Yeni Yüzü Blue Ajans İle Markanızı Ön Plana Çıkarın

Günümüzde internetin gücü yadsınamaz bir gerçek haline geldi. Her sektörden işletme, dijital alanda etkili bir varlık sergileyebilmek için güçlü bir web sitesine ihtiyaç duyar.

Bayraktar dan 'Anlık' Paylaşım: TCG Anadolu üzerinden gece geçişi

Selçuk Bayraktar, Bayraktar TB-3'ün gece testleri kapsamında TCG Anadolu üzerinden sıfıra yakın mesafeden uçtuğu anları 'Anlık' notuyla paylaştı; stratejik test Türkiye nin hava gücüne önemli katkı sağlayacak.

Çok az kişi biliyor: WhatsApp'ta gizli kalan özellik

WhatsApp ta sohbetlerinizi saklamanın yalnızca bulut yedeklemesiyle sınırlı olduğunu mu düşünüyorsunuz? Aslında pek bilinmeyen gizli bir özellik sayesinde, sohbet geçmişlerinizi ve tüm medya dosyalarınızı WhatsApp ın dışına taşıyabilirsiniz.

Savunma sanayisinin silahlı robot köpekleri

Türk savunma sanayisindeki yeteneklerin kullanılmasıyla geliştirilen silahlı robot köpekler göreve hazırlanıyor.

Düşman bölgelerine sızacak silahlı robot köpekleri göreve hazırlanıyor

Düşman bölgelerine sızarak insan kayıplarını en aza indirecek şekilde görev yaparak askeri stratejilerde yeni bir paradigma oluşturacak silahlı robot köpekler göreve hazırlıyor.

İsrail'den KIZILELMA provokasyonu

İsrail basını, KIZILELMA provokasyonuyla Türkiye karşıtı yeni bir algı operasyonuna kalkıştı.