土耳其航空公司6.5TB數據泄露 Pegasus Airlines leak

一鹿論 發佈 2024-03-04T10:29:59.782853+00:00

Pegasus Airlines 是一家總部位於土耳其的低成本航空公司,其電子飛行包 (EFB) 數據,包括原始碼、機組人員和工作人員數據以及航班詳細信息等敏感信息泄露。

Pegasus Airlines 是一家總部位於土耳其的低成本航空公司,其電子飛行包 (EFB) 數據,包括原始碼、機組人員和工作人員數據以及航班詳細信息等敏感信息泄露。

一個包含飛馬航空公司「電子飛行包」(EFB) 信息的 AWS S3 存儲桶沒有密碼保護,泄露了一系列敏感的飛行數據。

存儲桶的信息與 PegasusEFB 開發的 EFB 軟體相關聯,飛行員將其用於飛機導航、起飛/著陸、加油、安全程序和各種其他飛行過程。

PegasusEFB 的開放式存儲桶使任何人都可以訪問包括飛行圖、導航材料和機組人員 PII 在內的數據。該存儲桶還暴露了 EFB 軟體的原始碼,其中包含純文本密碼和密鑰,有人可以用來篡改敏感文件。出於道德原因,我們沒有測試這些證書。

在存儲桶中發現了近 2300 萬個文件,總計約 6.5 TB 的數據。這種暴露可能會影響世界各地每位飛馬乘客和機組人員的安全。使用 PegasusEFB 的附屬航空公司也可能受到影響。

PegasusEFB 的開放式存儲桶於 2022 年 2 月 28 日被發現,SafetyDetectives 研究人員使用網絡掃描儀來查找不安全的數據存儲。在發現存儲桶後,我們的研究人員檢查了 PegasusEFB 的公開數據。

我們於 2022 年 3 月 1 日通過電子郵件向 Pegasus Airlines 發送了有關 PegasusEFB 開放式存儲桶的電子郵件。2022 年 3 月 20 日,我們向 Pegasus 發送了後續消息,並聯繫了 PegasusEFB。2022 年 3 月 24 日,我們在與 Pegasus EFB 取得聯繫後,負責任地披露了對 Pegasus EFB 的數據暴露。

AWS S3 存儲桶得到及時保護,PegasusEFB 隨後回復,感謝我們的通知。

公司是誰?

飛馬航空公司成立於 1990 年,是一家土耳其航空公司,專門提供低成本的國內和國際航班。土耳其私募股權公司 Esas Holding AS 擁有該公司的多數股權。Pegasus 總部位於伊斯坦堡,2021 年的收入為 6.2 億美元。

PegasusEFB 是一家隸屬於 Pegasus Airlines 的公司,擁有包含 Pegasus 的 EFB 信息的開放式存儲桶。根據其網站,幾家航空公司使用 PegasusEFB 軟體,包括 Pegasus、IZair 和 Air Manas。

由於存儲桶內容中的引用,我們知道 PegasusEFB 擁有電子飛行包。



泄露了什麼?

PegasusEFB 的開放式 AWS S3 存儲桶暴露了 EFB 軟體的敏感飛行數據、機組人員 PII原始碼。亞馬遜不對 PegasusEFB 存儲桶的錯誤配置負責。

敏感的航班數據

超過 320 萬個文件包含敏感的飛行數據。電子表格 (大約 290 萬個文件)和驗收表格 (超過 290,000 個文件)是包含這些信息的兩個最流行的數據集。

  • 驗收表格,詳細說明飛行前檢查中發現的小問題
  • 飛行圖和修訂,用於協助導航和著陸
  • 電子表格,包含有關機場、航班、機組輪班等信息。
  • 文件和備忘錄,包括。保險文件、許可證和安全指南
  • SIL – 安全完整性等級,包含法規和原始碼的日誌

您可以在下面的屏幕截圖中看到這些文件的證據。




.CSV 文件顯示航班和機組人員信息

飛行員個人身份信息

存儲桶中有超過 160 萬份文件以飛行員 PII為特色。這些文件中的絕大多數包含以下內容:

  • 員工照片
  • 簽名

您可以在下面查看飛行員 PII 的示例。



原始碼

PegasusEFB 軟體的原始碼也在存儲桶中找到。近 400 個文件(.apk、.exe、.dll、.msi 和其他格式)包含純文本密碼和密鑰。這些文件是可以訪問的,並且可以允許任何人刪除、修改或上傳數據到存儲桶上的其他加密或受密碼保護的資料庫、文件和文件夾。


PegasusEFB 存儲桶中的文件日期為 2019 年 7 月 19 日。您可以在下表中查看 PegasusEFB 數據暴露的完整細分。

數據暴露影響

我們不知道也無法知道不良行為者是否訪問了 PegasusEFB 的不安全 AWS S3 存儲桶。如果有人閱讀或下載了存儲桶的文件,數百萬人可能面臨潛在的災難性威脅。

不良行為者可以使用 PegasusEFB 存儲桶中的密碼和密鑰來篡改敏感的航班數據和超敏感文件。雖然我們不能確定飛行員是否會在即將到來的航班上使用存儲桶的文件,但更改文件的內容可能會阻止重要的 EFB 信息到達航空公司人員,並使乘客和機組人員處於危險之中。不幸的是,由於數以百萬計的文件包含最近的和可能相關的飛行數據,如果攻擊者找到 PegasusEFB 的存儲桶,他們可能有許多造成傷害的選擇。

飛馬的數據泄露可能會助長其他犯罪。不良行為者可以通過圖片、簽名和機組輪班來識別飛機工作人員,並迫使他們跨境走私貨物、武器或毒品。此外,攻擊者可以使用安全指南來識別機場或飛機安全方面的薄弱環節。

如果工作人員被惡意人員接近或聯繫,他們應尋求執法部門的幫助。PegasusEFB 可能會檢查關鍵文件的準確性,而航空公司和機場應儘可能更改暴露的安全協議。

最起碼,PegasusEFB 的開桶已經侵犯了飛機工作人員的隱私。考慮到這一點,PegasusEFB 可能違反了土耳其的數據保護法規,即《個人數據保護法》(LPPD)。因此,土耳其的個人數據保護局可以處以最高約 183,000 美元的罰款。

關鍵字:

【amz嚴選】室內靜音籃球

售價 NT$ 140-399

Relove_緊依偎_女性私密護理凝膠

售價 NT$ 980-1,980

Nature Tree_玫瑰抗皺_精華液

售價 NT$ 990

【amz嚴選】可愛創意_動物疊疊樂餐具

售價 NT$ 249

【Dr.future長泰】活鯊烯軟膠囊

售價 NT$ 1,080-1,980

【amz嚴選】奢華質感紙巾盒

售價 NT$ 179

【Dr.愛伊】黑瑪卡活力膠囊

售價 NT$ 890-1,980

【Dr.future長泰】專利KD魚油軟膠囊

售價 NT$ 890-2,280