De Nigeriaanse luchtvaartmaatschappij Arik Air heeft van zeker tienduizenden klanten de gegevens gelekt, waaronder ook van Nederlanders. Dat ontdekte Justin Paine, hoofd Trust & Safety bij internetbedrijf Cloudflare. Paine vond een onbeveiligde S3-bucket met 994 CSV-bestanden die voor iedereen toegankelijk was.
Via een S3-bucket kunnen organisaties allerlei gegevens in de cloud van Amazon opslaan. Standaard staan S3-buckets zo ingesteld dat ze niet voor onbevoegden toegankelijk zijn. De bucket van Arik Air was voor iedereen toegankelijk. Alleen het kennen van de url was voldoende om toegang te krijgen. Paine vond de bucket op 6 september. De in de bucket aangetroffen CSV-bestanden bleken allerlei klantgegevens te bevatten, zoals namen, e-mailadressen, ip-adressen, hash van de creditcard van de klant en allerlei andere gegevens.
Het gaat om gegevens van klanten die tussen 31 december 2017 en 16 maart 2018 een ticket bij de luchtvaartmaatschappij hebben gekocht. Paine laat weten dat hij in de CSV-bestanden 54.000 unieke namen aantrof. Aan de andere kant maakt hij ook melding van honderdduizenden e-mailadressen die stonden vermeld. Verder bevatte de data ook het land van herkomst van de klant. De meeste klanten zijn uit Nigeria afkomstig, maar in ruim 3.000 gevallen gaat het om Nederlanders.
Paine probeerde Arik Air te waarschuwen, maar dit bleek een lastig proces. Op 6 september verstuurde hij een bericht via Facebook, gevolgd door een bericht naar Arik Air-medewerkers op LinkedIn. Ook verstuurde hij e-mails, die niet konden worden afgeleverd. Op 17 september ontving hij een reactie op Facebook en kreeg een e-mailadres om het probleem te melden. Dit leverde in eerste instantie geen reactie op. Het securitycontact van Arik Air liet op 24 september weten dat de melding werd bekeken. Vervolgens bleef het stil, maar tussen 24 september en 10 oktober is de bucket beveiligd.
Deze posting is gelocked. Reageren is niet meer mogelijk.