Пассажир «взломал» сайт авиаперевозчика, чтобы узнать, кто забрал его багаж

Нандан Кумар летел местным лоукостером IndiGo. Уже придя домой, он понял, что забрал с конвейера чужой чемодан — почти один в один, как у него самого. Он вернулся в аэропорт, но к тому времени его чемодана там уже не было.

Soo I traveled from PAT — BLR from indigo 6E-185 yesterday. And my bag got exchanged with another passenger.

Honest mistake from both our end. As the bags exactly same with some minor differences. 2/n

— Nandan kumar (@_sirius93_) March 28, 2022

На багажной бирке был код бронирования, и Кумар позвонил в компанию, чтобы спросить, кто владелец подхваченного им багажа. Там называть его отказались, сославшись на политику конфиденциальности и обработки персональных данных, но пообещали перезвонить, когда свяжутся с ним. Компания сказала ВВС, что поддержка пыталась дозвониться до второго пассажира несколько раз, но он не поднимал трубку.

Ответного звонка Кумару тоже так и не поступило, и на следующий день 28-летний разработчик решил взять всё в свои руки. Сначала он попробовал узнать адрес или номер второго пассажира по коду через сайт — через систему чек-ина, отредактировать бронирование и изменить контакты.

Эти способы не сработали, и тогда он заглянул в консоль разработчика в браузере на сайте IndiGo. В логах нашёлся телефон второго пассажира, с которым Кумар встретился и поменялся чемоданами.

Кумар отмечает, что такие пользовательские данные должны быть зашифрованы, а не храниться в свободном доступе для всех желающих: так кто угодно может, например, сфотографировать бирку на сумке в аэропорту и без труда получить информацию о владельце.

В IndiGo изданию заявили, что изучают ситуацию, сайт скомпрометирован не был, а все ИТ-процессы у них в норме.