Bir güvenlik araştırmacısı, Avelo Airlines'ın yolcu rezervasyon sisteminde ciddi bir güvenlik açığı keşfetti. Normalde bir uçuş rezervasyonuna erişmek için hem onay kodu hem de yolcunun soyadı gerekirken, Avelo'nun sisteminde soyadı doğrulaması eksikti. Bu durum, saldırganların sadece 6 karakterli alfanümerik onay kodunu kullanarak rezervasyon detaylarına erişmesine olanak tanıyordu. Yaklaşık 2.18 milyar kombinasyon içeren bu kod alanı, modern bir kaba kuvvet (brute-force) saldırısıyla tahmini 6 saat içinde tamamen denenebilir durumdaydı. Bu açık, milyonlarca yolcunun kişisel kimlik bilgileri (PII), bilinen yolcu numaraları (Known Traveler Number) ve kısmi ödeme verileri gibi hassas bilgilere yetkisiz erişim riski taşıyordu.
Araştırmacı, açığı 15 Ekim 2025'te kendi uçuşunu değiştirirken fark etti ve hemen Avelo Airlines'ın güvenlik ekibiyle iletişime geçti. Avelo ekibi hızlı ve profesyonel bir şekilde yanıt vererek, açığın detaylarını inceledi ve düzeltme çalışmalarına başladı. 13 Kasım 2025'e kadar güvenlik açıkları giderildi ve araştırmacı tarafından bağımsız olarak doğrulandı. Bu süreç, şirketlerin güvenlik açığı bildirimlerine nasıl yaklaşması gerektiğine dair örnek bir vaka olarak gösterildi. Avelo'nun iş birliği ve hızlı müdahalesi sayesinde potansiyel büyük bir veri ihlali önlenmiş oldu. Bu olay, API güvenliğinin ve doğru kimlik doğrulama mekanizmalarının önemini bir kez daha ortaya koymaktadır.
Bir havayolu şirketinin rezervasyon sistemindeki basit bir kimlik doğrulama eksikliği, milyonlarca yolcunun hassas verilerinin kaba kuvvet saldırısıyla ele geçirilmesine yol açabilecek büyük bir güvenlik riski oluşturdu.