נתוני משתמשים של חברת תעופה קנדית היו חשופים למשך חודשים
This post is also available in: 
English (אנגלית)
חברת התעופה הקנדית "פלייר איירליינס" השאירה חולשה המדליפה אישורי כניסה למסדי נתונים רגישים ולכתובות דוא"ל של משתמשים במשך שבעה חודשים לפחות, ובך הגדילה את הסיכון שמידע אישי של נוסעים (כמו אימיילים, שמות או כתובות מגורים) יגיע לידיים הלא נכונות.
על פי Cybernews, ההדלפה כללה קבצי סביבה נגישים לציבור באתר flyflair.com. קבצי סביבה משמשים בדרך כלל בפיתוח תוכנה לניהול הגדרות ספציפיות לסביבה או מידע רגיש (כגון מפתחות API ואישורי מסד נתונים). דרישה קריטית בפיתוח אינטרנטי היא לשמור על אבטחת קבצי .env חשובים מכיוון שהם מכילים לעתים קרובות מידע רגיש בו ניתן להשתמש כדי לפגוע בשירותים או ביישומים.
חוקרי Cybernews מסבירים: "קבצי ה-.env 'המתארחים' באופן פומבי הכילו פרטי מסד נתונים ותצורת דואר אלקטרוני. תצורות מסד הנתונים חשפו כי אחד ממאגרי המידע היה חשוף לאינטרנט, כלומר כל אחד היה יכול להשתמש באישורים אלה כדי לגשת למידע רגיש המאוחסן במסד נתונים זה".
הכמות והתוכן המדויקים שנחשפו ממסדי הנתונים אינם ידועים כרגע, אבל ידוע שלפחות סאב-דומיין אחד אסף פרטי משתמש פרטיים (הכוללים שמות, כתובות דואר אלקטרוני, מספרי טלפון, פרטי טיסה, כתובת מגורים, מגדר, תאריך לידה וכו').
נכון לעכשיו, לא ניתן לדעת אם גורמים זדוניים כלשהם ניצלו את ההדלפה, אך קבצי ה-.env הציבוריים התגלו לראשונה באוגוסט 2022, כלומר היו נגישים במשך כמעט שבעה חודשים. צוות המחקר של Cybernews גילה את ההדלפה בתחילת 2023, ועל פי דיווחים, לקח כמה חודשים של הודעות מעקב ותזכורת עד שהחולשה תוקנה.
"דליפות כאלה יכולות לעתים קרובות להיות נקודת התחלה עבור עברייני סייבר. ראשית, כדי לחקור איזה מידע היעד שלהם יכול לאחסן, באילו טכנולוגיות ואמצעי אבטחה הם משתמשים. שנית, מידע אישי יכול לשמש לפישינג, גניבת זהות, והתקפות אחרות המתמקדות באנשים פרטיים", הסבירו החוקרים. במקרה זה, מאגר הנתונים היה פומבי, כלומר גורמים זדוניים יכלו לגשת למידע המשתמש אפילו מבלי לנצל חולשות.
גישה לאישורי דואר אלקטרוני עלולה לאפשר לתוקף להיכנס ולשלוח הודעות דוא"ל מכתובות שנפרצו, מה שמסוכן מאחר ועלול לשמש להפעלת התקפות פישינג מכתובות הדוא"ל הרשמיות של פלייר איירליינס, דבר שיעלה את הסיכוי שהקורבנות יתנו בהם אמון. יתר על כן, גורם זדוני יכול להשתמש בשמות בשילוב עם כתובות, מיילים ומספרי טלפון כדי לבצע גניבת זהות, וליצור חשבונות בשמו של האדם ללא הסכמתו.
