土耳其飞马航空违规暴露了6.5 TB的数据，可能被罚18.3万美元

 

土耳其公司Pegasus Airlines的数据泄露事件使超过6.5 TB的敏感电子飞行袋数据面临风险，包括敏感的航班细节，源代码和员工数据。

安全公司Safety Detectives的网络安全研究人员表示：“包含土耳其飞马航空公司的电子飞行包 （EFB） 信息的 AWS S3 存储桶没有密码保护，泄露了一系列敏感的飞行数据，飞行的信息与PegasusEFB开发的EFB软件相关联，飞行员将其用于飞机导航、起飞、着陆、加油，运行安全程序和记录各种其他飞行过程。”

研究人员表示，PegasusEFB的开放存储云使任何人都可以访问超过2300万个文件中的数据，同时还暴露了EFB软件的源代码，其中包含可用于篡改敏感文件的纯文本密码和密钥。

“这些文件是可访问的，可以允许任何人删除，修改或将数据上传到存储云上其他加密或受密码保护的数据库，文件和文件夹，”研究人员说。“PegasusEFB云上的文件日期为2019年7月19日。

但研究人员无法确定不良行为者是否能够访问PegasusEFB的不安全AWS S3存储云进行读取，或者他们是否能够下载存储云的文件。

 

面临风险的数据包括：

验收表格，详细说明在飞行前检查中发现的小问题;

飞行图和修订，用于协助导航和着陆;

电子表格，包含有关机场、航班和机组人员班次的信息;

文件和备忘录，包括保险文件、许可证和安全指南;

安全完整性级别，包含法规和源代码的日志。

安全侦探的研究人员表示，出于道德原因，他们没有测试这些证书。该团队表示，AWS S3存储云现已得到保护，并补充说亚马逊不对配置错误负责。

飞马航空公司没有立即回应信息安全媒体集团的置评请求。

“这种暴露可能会影响世界各地每个Pegasus乘客和机组人员的安全”。研究人员说，“使用PegasusEFB的附属航空公司也可能受到影响。PegasusEFB也被其他公司使用，如IZair和Air Manas，但两家公司都没有报告任何网络安全问题。”

此外，安全侦探研究人员表示，PegasusEFB的开放式云数据侵犯了飞机工作人员的隐私，他们可能违反了土耳其的数据保护条例，即《个人数据保护法》。因此，土耳其个人数据保护局可能会处以最高约183，000美元的罚款。

 

原文转自inforisktoday，超级科技译，合作站点转载请注明出处和原文译者为超级科技！

Hi，我是超级科技

超级科技是信息安全专家，能无上限防御DDos攻击和CC攻击，阿里云战略合作伙伴！