Australijski przewoźnik flagowy Qantas przeprosiła pasażerów po tym, jak usterka w jej aplikacji mobilnej tymczasowo umożliwiła niektórym klientom przeglądanie lotów i szczegółów rezerwacji innych osób często podróżujących przy dwóch różnych okazjach.
Linia lotnicza stwierdziła, iż nie ujawniono żadnych informacji finansowych, a żaden użytkownik nie mógł przenosić ani korzystać z punktów programu lojalnościowego należących do innych osób. Ponadto nikt nie mógł wejść na pokład lotu, korzystając z karty pokładowej innego klienta – i nie podjęto też takiej próby.
„Szczerze przepraszamy klientów, których dzisiejszego ranka dotknął problem z aplikacją Qantas, który został już rozwiązany” – poinformował Qantas w oświadczeniu.
„Bieżące badania wskazują, iż było to spowodowane problemem technologicznym i mogło mieć związek z ostatnimi zmianami systemowymi. Na tym etapie nic nie wskazuje na incydent związany z bezpieczeństwem cybernetycznym.”
Problem pojawił się po raz pierwszy na krótko przed godziną 9:00 w Australii 1 maja 2024 r. (12:00 czasu BST) i wielu użytkowników zgłosiło, iż nagle mogli przeglądać i najwyraźniej zmieniać rezerwacje innych osób. Problem został rozwiązany do godziny 7:50 czasu BST. Nie wiadomo, ilu, jeżeli w ogóle, obywateli lub mieszkańców Wielkiej Brytanii ucierpiało.
Chociaż firma Qantas oświadczyła, iż incydent nie był wynikiem bezpośredniej ingerencji ze strony podmiotów stwarzających zagrożenie, incydent z pewnością stanowi poważne naruszenie danych i jest możliwe, iż gdyby ktoś w złych zamiarach uzyskał dostęp do danych innej osoby, mógłby je wykorzystać w kolejny cyberatak na tę osobę. Linia lotnicza radzi pasażerom, aby zwracali uwagę na możliwość oszustw i oszustw.
Ted Miracco, dyrektor generalny specjalisty ds. bezpieczeństwa aplikacji mobilnych Zatwierdźstwierdził, iż jako taki incydent był wysoce niepokojący. „Opisany problem sugeruje poważny problem ze sposobem obsługi sesji użytkowników i danych w aplikacji. The Interfejs aplikacji do programowania (API) nieprawidłowo przetwarza lub sprawdza tokeny sesji, co prowadzi do nieuprawnionego dostępu do danych.
„Ujawnienie takich danych osobowych, w tym szczegółów rezerwacji, numerów osób często podróżujących i kart pokładowych, stwarza poważne ryzyko i odpowiedzialność. Dane mogą zostać wykorzystane do kradzieży tożsamości, oszustw typu phishing lub nieautoryzowanego dostępu do dalszych danych osobowych.
„Takie naruszenie powinno mieć poważne konsekwencje prawne i związane z przestrzeganiem przepisów, szczególnie w ramach przepisów o ochronie danych, takich jak Australijska ustawa o ochronie prywatności (APA) lub RODO, jeżeli dotyczy to obywateli UE, lub inne lokalne przepisy dotyczące prywatności, w zależności od narodowości pasażerów, których to dotyczy” – dodał.
Bezpieczeństwo API stało się poważnym problemem ze względu na wszechobecność interfejsów API, których wykorzystanie rośnie o około 200% każdego roku. W ostatnich latach napisano kilka fragmentów kodu, które w żaden sposób nie ujawniają ani nie wykorzystują interfejsu API, a dzięki ich krytyczności misji, rozproszonemu charakterowi i tendencji do wchodzenia w konflikt programistów i zespołów ds. bezpieczeństwa stały się głównym wektorem ataków dla cyberprzestępców. Rzeczywiście jednym z najważniejszych cyberataków ostatnich lat, w których wykorzystano interfejsy API, był incydent z 2022 r., który dotknął inną australijską organizację, firmę telekomunikacyjną Optus, która ujawnił dane milionów klientów.
Zmiany systemowe
Jeśli do incydentu rzeczywiście doszło w wyniku nieudanej zmiany systemu, Qantas dołącza do rosnącej listy organizacji, które w ostatnich tygodniach doświadczyły podobnych problemów. W marcu 2024 r. wiele znanych nazwisk na głównych ulicach Wielkiej Brytanii, w tym sieć fast foodów McDonald’s I Ogólnopolskie Towarzystwo Budowlane doświadczyły znaczących przestojów po błędach popełnionych podczas rutynowych prac modernizacyjnych.
