Исследователи безопасности обнаружили уязвимость в глобальной системе заказа билетов Amadeus, которая позволяла хакерам просматривать и изменять личные данные пассажиров, сообщает TechSpot.
Уязвимость, которую выявили специалисты Safety Detective Research Lab, затрагивала 44 процента рынка авиаперевозок, или 141 международную компанию, которые пользуются системой — в том числе United Airlines, Lufthansa и Air Canada. Проблема была связана с системой записей данных о маршрутах и пассажирах Passenger Name Record (PNR), которая автоматически присваивает им 6-значные идентификаторы во время бронирования.
Изменив всего один элемент на веб-странице оформления брони — RULE_SOURCE_1_ID — исследователи могли просматривать имена и все детали заказа по любому PNR, вводимому в Amadeus. Хотя в целом баг не нёс угрозу безопасности или финансовым данным пассажиров, хакеры могли красть накопленные ими в рамках бонусных программ часы, отменять полёты, изменять их контактные сведения, выбранные места или обеды.
Также специалисты выяснили, что система не защищена от атак методом «грубой силы» (перебором). Они написали простой скрипт для генерации случайных PNR, которому удалось получить доступ к аккаунтам большого числа пользователей. В качестве противодействия Safety Detective Research предлагает ввести «капчу», заменить PNR-коды паролями и внедрить механизмы защиты от ботов.
Рэлацыраваліся? Цяпер вы можаце каментаваць без верыфікацыі акаўнта.