Kontajner na ukladanie súborov v objektovom formáteAmazon Webové služby (AWS) neboli riadne zabezpečené, v dôsledku čoho došlo k miliónom únikov údajov z leteckej spoločnosti Pegasus Airlines.
Tímy špecialistu na kybernetickú bezpečnosť zistili, že „vedro“ AWS S3, teda kontajner, ktorý umožňuje ukladať v cloude v objektovom formáte množstvo údajov a súborov, zostal prístupný online. nechránené, bez hesla. Táto nešikovnosť je o to závažnejšia, že predmetná skupina obsahovala kritické údaje od tureckej leteckej spoločnosti Pegasus Airlines, ktorú vlastní súkromná investičná spoločnosť z tej istej krajiny Esas Holding AS. Pozrime sa, čo to je.
6,5 TB kritických údajov ponechaných na otvorenom priestranstve
AWS S3 (Amazon Simple Storage Service), čo nie je nikto iný ako služba cloudového úložiska amerického giganta, je prístupná cez webové rozhranie. Umožňuje vám ukladať dáta a súbory z takzvaných bucketov. Tie sú potom pre svojich majiteľov vďaka Cloudu dostupné z akéhokoľvek zariadenia pripojeného na internet.
Ukazuje sa, že predmetné vedro obsahovalo informácie typu Electronic Flight Bag (EFB) od nízkonákladovej spoločnosti Pegasus Airlines. Presnejšie, vážil približne 6,5 TB dát a hostil 23 miliónov dokumentov. 3,2 milión z nich obsahoval citlivé letové údaje.
Tieto informácie teda pochádzajú zo softvéru EFB vyvinutého spoločnosťou Pegasus. Údaje o type elektronickej batožiny sú obzvlášť dôležité a citlivé. V skutočnosti tu hovoríme o zariadení, ktoré umožňuje posádke lietadla jednoduchšie vykonávať úlohy riadenia letu, navigácie, vzletu, pristátia, tankovania alebo zabezpečenia.
Následné riziká pre spoločnosť, jej zamestnancov a cestujúcich
Vedro, ktoré bolo objavené úplne otvorené 28. februára 2022, bez hesla, obsahovalo aj údaje ako letové mapy, revízne karty, navigačné dokumenty, informácie o problémoch súvisiacich s predletovou kontrolou, doklady o poistení… Boli tam aj identifikovateľné osobné údaje patriace posádke spoločnosti, s fotografiami a podpismi.
Všetky tieto voľne uniknuté informácie sa týkajú Pegasus EFB, softvéru, ktorého zdrojový kód bol tiež odhalený, s heslami vo formáte obyčajného textu a tajnými kľúčmi obsiahnutými v približne 400 súboroch vo formátoch exe, apk, dll. , msi a ďalších. V nesprávnych rukách by sa tieto informácie mohli použiť na úpravu mimoriadne citlivých súborov. A táto chyba by sa mohla týkať aj pridružených leteckých spoločností, ktoré tiež používajú Pegasus EFB, ako napríklad IZair a Air Manas.
Pegasus Airlines rýchlo zabezpečili vedierko AWS S3, ale v súčasnosti nie je možné zistiť, či hackeri alebo iní zákerní jedinci mali prístup k nechránenému vedierku AWS S3. Ak je to tak, následky môžu byť vážne, dokonca ohroziť personál spoločnosti vrátane členov posádky a cestujúcich.
” Zlý herec by mohol identifikovať personál lietadla prostredníctvom fotografií, podpisov a zmien posádky a prinútiť ich, aby pašovali tovar, zbrane alebo drogy cez hranice “ hovoria bezpečnostní detektívi. Okrem toho bezpečnostné pokyny, ktoré boli k dispozícii, mohli pomôcť identifikovať slabé miesta v bezpečnosti lietadla alebo letiska.
Na tú istú tému:
Krádež dát: nikdy toho nebolo toľko ako dnes, tvrdí CNIL
zdroj: Bezpečnostní detektívi
