Исследователи безопасности обнаружили уязвимость в глобальной системе заказа билетов Amadeus

Хакеры могли изменять данные пассажиров 44% всех авиакомпаний

Исследователи безопасности обнаружили уязвимость в глобальной системе заказа билетов Amadeus

Исследователи безопасности Safety Detective Research Lab выявили слабость в системе заказа билетов Amadeus. Эта уязвимость давала хакерам возможность не только смотреть, но и изменять личные данные пассажиров,  сообщает dev.by со ссылкой на TechSpot.

Уязвимость, которую выявили специалисты, затрагивала 44% рынка авиаперевозок, или 141 международную компанию, которые пользуются системой. В их число входят, например, United Airlines, Lufthansa и Air Canada. Проблема была связана с системой записей данных о маршрутах и пассажирах Passenger Name Record (PNR), которая автоматически присваивает им 6-значные идентификаторы во время бронирования.

Изменив всего один элемент на веб-странице оформления брони - RULE_SOURCE_1_ID - хакеры могли просматривать имена и все детали заказа по любому PNR, вводимому в Amadeus. Хотя в целом баг не нёс угрозу безопасности или финансовым данным пассажиров, хакеры могли красть накопленные ими в рамках бонусных программ часы, отменять полёты, изменять их контактные сведения, выбранные места или обеды.

Также специалисты выяснили, что система не защищена от атак методом «грубой силы» (перебором). Они написали простой скрипт для генерации случайных PNR, которому удалось получить доступ к аккаунтам большого числа пользователей. В качестве противодействия Safety Detective Research предлагает ввести «капчу», заменить PNR-коды паролями и внедрить механизмы защиты от ботов.

Подписывайтесь на TIO.BY в Telegram и Яндекс.Дзен


Подписывайтесь на TIO.BY в Telegram и Yandex Zen