目录导航
Pegasus Airlines 是一家总部位于土耳其的低成本航空公司,其电子飞行包 (EFB) 数据,包括源代码、机组人员和工作人员数据以及航班详细信息等敏感信息泄露。
一个包含飞马航空公司“电子飞行包”(EFB) 信息的 AWS S3 存储桶没有密码保护,泄露了一系列敏感的飞行数据。
存储桶的信息与 PegasusEFB 开发的 EFB 软件相关联,飞行员将其用于飞机导航、起飞/着陆、加油、安全程序和各种其他飞行过程。
PegasusEFB 的开放式存储桶使任何人都可以访问包括飞行图、导航材料和机组人员 PII 在内的数据。该存储桶还暴露了 EFB 软件的源代码,其中包含纯文本密码和密钥,有人可以用来篡改敏感文件。出于道德原因,我们没有测试这些证书。
在存储桶中发现了近 2300 万个文件,总计约 6.5 TB 的数据。这种暴露可能会影响世界各地每位飞马乘客和机组人员的安全。使用 PegasusEFB 的附属航空公司也可能受到影响。
PegasusEFB 的开放式存储桶于 2022 年 2 月 28 日被发现,SafetyDetectives 研究人员使用网络扫描仪来查找不安全的数据存储。在发现存储桶后,我们的研究人员检查了 PegasusEFB 的公开数据。
我们于 2022 年 3 月 1 日通过电子邮件向 Pegasus Airlines 发送了有关 PegasusEFB 开放式存储桶的电子邮件。2022 年 3 月 20 日,我们向 Pegasus 发送了后续消息,并联系了 PegasusEFB。2022 年 3 月 24 日,我们在与 Pegasus EFB 取得联系后,负责任地披露了对 Pegasus EFB 的数据暴露。
AWS S3 存储桶得到及时保护,PegasusEFB 随后回复,感谢我们的通知。
公司是谁?
飞马航空公司成立于 1990 年,是一家土耳其航空公司,专门提供低成本的国内和国际航班。土耳其私募股权公司 Esas Holding AS 拥有该公司的多数股权。Pegasus 总部位于伊斯坦布尔,2021 年的收入为 6.2 亿美元。
PegasusEFB 是一家隶属于 Pegasus Airlines 的公司,拥有包含 Pegasus 的 EFB 信息的开放式存储桶。根据其网站,几家航空公司使用 PegasusEFB 软件,包括 Pegasus、IZair 和 Air Manas。
由于存储桶内容中的引用,我们知道 PegasusEFB 拥有电子飞行包。
泄露了什么?
PegasusEFB 的开放式 AWS S3 存储桶暴露了 EFB 软件的敏感飞行数据、机组人员 PII和源代码。亚马逊不对 PegasusEFB 存储桶的错误配置负责。
敏感的航班数据
超过 320 万个文件包含敏感的飞行数据。电子表格 (大约 290 万个文件)和验收表格 (超过 290,000 个文件)是包含这些信息的两个最流行的数据集。
- 验收表格,详细说明飞行前检查中发现的小问题
- 飞行图和修订,用于协助导航和着陆
- 电子表格,包含有关机场、航班、机组轮班等信息。
- 文件和备忘录,包括。保险文件、许可证和安全指南
- SIL – 安全完整性等级,包含法规和源代码的日志
您可以在下面的屏幕截图中看到这些文件的证据。
飞行员个人身份信息
存储桶中有超过 160 万份文件以飞行员 PII为特色。这些文件中的绝大多数包含以下内容:
- 员工照片
- 签名
您可以在下面查看飞行员 PII 的示例。
源代码
PegasusEFB 软件的源代码也在存储桶中找到。近 400 个文件(.apk、.exe、.dll、.msi 和其他格式)包含纯文本密码和密钥。这些文件是可以访问的,并且可以允许任何人删除、修改或上传数据到存储桶上的其他加密或受密码保护的数据库、文件和文件夹。
PegasusEFB 存储桶中的文件日期为 2019 年 7 月 19 日。您可以在下表中查看 PegasusEFB 数据暴露的完整细分。
| 暴露的文件数 | 近 2300 万个文件 |
| 受影响的用户数 | 千人(机组人员) |
| 违规规模 | 大约 6.5 TB |
| 公司所在地 | 伊斯坦布尔,土耳其 |
数据暴露影响
我们不知道也无法知道不良行为者是否访问了 PegasusEFB 的不安全 AWS S3 存储桶。如果有人阅读或下载了存储桶的文件,数百万人可能面临潜在的灾难性威胁。
不良行为者可以使用 PegasusEFB 存储桶中的密码和密钥来篡改敏感的航班数据和超敏感文件。虽然我们不能确定飞行员是否会在即将到来的航班上使用存储桶的文件,但更改文件的内容可能会阻止重要的 EFB 信息到达航空公司人员,并使乘客和机组人员处于危险之中。不幸的是,由于数以百万计的文件包含最近的和可能相关的飞行数据,如果攻击者找到 PegasusEFB 的存储桶,他们可能有许多造成伤害的选择。
飞马的数据泄露可能会助长其他犯罪。不良行为者可以通过图片、签名和机组轮班来识别飞机工作人员,并迫使他们跨境走私货物、武器或毒品。此外,攻击者可以使用安全指南来识别机场或飞机安全方面的薄弱环节。
如果工作人员被恶意人员接近或联系,他们应寻求执法部门的帮助。PegasusEFB 可能会检查关键文件的准确性,而航空公司和机场应尽可能更改暴露的安全协议。
最起码,PegasusEFB 的开桶已经侵犯了飞机工作人员的隐私。考虑到这一点,PegasusEFB 可能违反了土耳其的数据保护法规,即《个人数据保护法》(LPPD)。因此,土耳其的个人数据保护局可以处以最高约 183,000 美元的罚款。
转载请注明出处及链接