Уязвимость в системах бронирования авиабилетов ставит под угрозу данные клиентов

Уязвимость в системах бронирования авиабилетов ставит под угрозу данные клиентов

Эксплуатация уязвимости позволяет получить доступ к информации о рейсе случайного человека, используя распространенные фамилии и брутфорс.

В системах бронирования авиабилетов некоторых авиалиний, находящихся в ведении самих предприятий, обнаружены серьезные уязвимости, подвергающие риску данные клиентов.

Многие авиакомпании позволяют клиентам просматривать и вносить изменения в информацию о рейсе, используя уникальный шестизначный номер бронирования, состоящий из букв и цифр. В свою очередь, этот номер связан с записью регистрации пассажира (PNR) со всеми персональными данными и информацией о полете.

По словам исследователя Ахмеда Эль-Фанаджели (Ahmed El-fanagely), обнаружившего уязвимость, некоторые авиакомпании не внедрили специальные механизмы защиты своих систем бронирования. В связи с этим любой злоумышленник может с помощью брутфорса получить PNR-идентификатор. Ахмед разработал инструмент, позволяющий получить доступ к информации о рейсе случайного человека, используя распространенные фамилии и брутфорс. Также можно отслеживать перелеты конкретного человека, зная фамилию и авиакомпанию, которую он использует. Злоумышленник может использовать этот метод для получения доступа к различным типам информации, включая имя, контактные данные, данные билета, маршрут, номер паспорта, дату рождения и даже информацию об оплате.

Уязвимость затрагивает несколько крупных авиакомпаний в Европе и на Ближнем Востоке. Пострадавшие компании используют систему управления бронированием от Amadeus — расположенного в Испании поставщика глобальных распределительных систем (ГРС), услугами которого пользуются более 200 авиакомпаний по всему миру.

Это не первый случай, когда в продуктах Amadeus находят слабые места. В начале этого года эксперты обнаружили уязвимость, эксплуатация которой могла раскрыть данные миллионов путешественников из-за отсутствия защиты от брутфорса.

Компания Amadeus исправила уязвимость и внедрила средства защиты от брутфорс-атак, однако они работают только в том случае, если сама Amadeus управляет системами бронирования. Авиакомпаниям, размещающим системы в своей инфраструктуре, необходимо внедрять отдельные системы защиты самостоятельно.


Anonymous объявили войну Илону Маску, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото в новом выпуске Security-новостей на нашем Youtube канале.