تعتذر شركة كانتاس الأسترالية عن خرق بيانات تطبيقات الهاتف المحمول
حاملة العلم الأسترالي كانتاس اعتذرت شركة طيران الإمارات للمسافرين بعد حدوث خلل في تطبيق الهاتف المحمول الخاص بها مما مكّن بعض العملاء مؤقتًا من عرض الرحلات الجوية وتفاصيل الحجز للمسافرين الدائمين الآخرين في مناسبتين منفصلتين.
وقالت شركة الطيران إنه لم يتم الكشف عن أي معلومات مالية، ولم يتمكن أي مستخدم من تحويل أو استخدام نقاط المسافر الدائم المملوكة للآخرين. بالإضافة إلى ذلك، لم يتمكن أحد من الصعود على متن رحلة باستخدام بطاقة الصعود إلى الطائرة الخاصة بعميل آخر – ولم تتم محاولة ذلك أيضًا.
“نحن نعتذر بشدة للعملاء الذين تأثروا بالمشكلة المتعلقة بتطبيق Qantas هذا الصباح، والتي تم حلها الآن.” وقالت كانتاس في بيان.
“تشير التحقيقات الحالية إلى أن سبب ذلك هو مشكلة تقنية وربما كان مرتبطًا بالتغييرات الأخيرة في النظام. في هذه المرحلة، ليس هناك ما يشير إلى وقوع حادث يتعلق بالأمن السيبراني”.
ظهرت المشكلة لأول مرة قبل وقت قصير من الساعة 9 صباحًا في أستراليا في 1 مايو 2024 (12 صباحًا بتوقيت جرينتش) وأبلغ العديد من المستخدمين فجأة عن قدرتهم على عرض حجوزات الآخرين وتعديلها على ما يبدو. تم حل المشكلة بحلول الساعة 7.50 صباحًا بتوقيت جرينتش. من غير المعروف عدد المواطنين أو المقيمين في المملكة المتحدة الذين تأثروا، إن وجدوا.
على الرغم من أن كانتاس ذكرت أن الحادث لم يكن نتيجة تدخل مباشر من جهات التهديد، إلا أن الحادث يشكل بالتأكيد خرقًا خطيرًا للبيانات، ومن الممكن أنه لو تمكن شخص ما ذو نية خبيثة من الوصول إلى بيانات شخص آخر، لكان من الممكن استخدامه في هجوم سيبراني لاحق ضد هذا الفرد. ونصحت شركة الطيران المسافرين بالحذر من احتمالية حدوث عمليات احتيال واحتيال.
تيد ميراكو، الرئيس التنفيذي لشركة متخصصة في أمن تطبيقات الهاتف المحمول موافقةوقال إن الحادث على هذا النحو مثير للقلق للغاية. “تشير المشكلة الموضحة إلى مشكلة كبيرة تتعلق بكيفية التعامل مع جلسات المستخدم وبياناته داخل التطبيق. ال واجهة برمجة تطبيق (API) تقوم بمعالجة الرموز المميزة للجلسة أو التحقق من صحتها بشكل غير صحيح، مما يؤدي إلى الوصول غير المصرح به إلى البيانات.
“إن الكشف عن مثل هذه المعلومات الشخصية، بما في ذلك تفاصيل الحجز وأرقام المسافر الدائم وبطاقات الصعود إلى الطائرة، يشكل مخاطر ومسؤوليات جسيمة. يمكن استخدام البيانات لسرقة الهوية أو عمليات التصيد الاحتيالي أو الوصول غير المصرح به لمزيد من المعلومات الشخصية.
“يجب أن يكون لمثل هذا الانتهاك آثار قانونية وامتثالية كبيرة، لا سيما في ظل لوائح حماية البيانات مثل قانون الخصوصية الأسترالي وأضاف: (APA) أو اللائحة العامة لحماية البيانات، في حالة تأثر أي من مواطني الاتحاد الأوروبي، أو قوانين الخصوصية المحلية الأخرى، اعتمادًا على جنسية الركاب المتأثرين.
أمان واجهة برمجة التطبيقات أصبحت مشكلة كبيرة بفضل انتشار واجهات برمجة التطبيقات (APIs) في كل مكان، والتي ينمو استخدامها بحوالي 200% كل عام. هناك عدد قليل من أجزاء التعليمات البرمجية المكتوبة في السنوات الأخيرة والتي لا تكشف بطريقة أو بأخرى واجهة برمجة التطبيقات (API) أو تستهلكها، وبفضل أهمية مهمتها وطبيعتها المشتتة وميلها إلى جلب المطورين وفرق الأمان إلى الصراع، فقد أصبحت ناقلًا رئيسيًا للهجوم لمجرمي الإنترنت. في الواقع، كانت إحدى أهم الهجمات الإلكترونية في السنوات الأخيرة التي استغلت واجهات برمجة التطبيقات هي حادثة وقعت عام 2022 وأثرت على مؤسسة أسترالية أخرى، وهي شركة الاتصالات أوبتوس، التي كشف بيانات الملايين من العملاء.
تغييرات النظام
إذا كان الحادث قد وقع بالفعل بعد تغيير فاشل في النظام، فإن شركة كانتاس تنضم إلى قائمة متزايدة من المنظمات التي واجهت مشكلات مماثلة في الأسابيع الأخيرة. في مارس 2024، ظهر عدد من الأسماء البارزة في الشارع الرئيسي في المملكة المتحدة، بما في ذلك سلسلة الوجبات السريعة ماكدونالدز و جمعية البناء الوطنية شهدت انقطاعات كبيرة في الخدمة بعد حدوث أخطاء أثناء أعمال الترقية الروتينية.