CYBER NEWS

Svaghed i Amadeus Flight Booking System Påvirker 141 Flyselskaber


En stor sårbarhed, som berører næsten halvdelen af ​​alle flyselskaber i hele verden var lige opdaget af forsker Noam Rotem.




Forskeren snuble på fejl mens booking en flyvning med israelsk national carrier EL AL Israel Airlines. Sårbarheden giver alle mulighed for at få adgang til og manipulere med private oplysninger om flybestillinger, blot ved hjælp ofrets PNR (Passagerlister) nummer.

Sårbarhed Beliggende i Amadeus Flight Booking System

Sårbarheden pågældende var placeret i den populære online booking flyvning system udviklet af Amadeus. Platformen bruges af 141 internationale flyselskaber, såsom Lufthansa og Air Canada.

Relaterede: [wplinkpreview url =”https://sensorstechforum.com/delta-air-lines-phishing-email-downloads-hancitor-malware/”]Delta Air Lines Phishing Email Downloads Hancitor Malware

Ved bestilling af en flyvning med EL AL, Rotem modtaget følgende link for at kontrollere hans PNR-nummer: https://fly.elal.co.il/LOTS-OF-NUMBERS-HERE. Og det er her problemet er: blot ved at ændre RULE_SOURCE_1_ID, forskeren var i stand til at se nogen PNR og få adgang til kundens navn og tilhørende flyvning detaljer, han sagde i sin rapport, tilføjer, at:

Med PNR og kunden navn til vores rådighed, vi var i stand til at logge ind på EL AL s kundeportal (https://booking.elal.co.il/newBooking/changeOrderNewSite.jsp) og foretage ændringer, hævder frequent flyer miles til en personlig konto, tildele sæder og måltider, og opdatere kundens e-mail og telefonnummer, som derefter kunne bruges til at annullere / ændre flyvning reservation via kundeservice.

Det skal bemærkes, at EL AL sender PNR-koder via ukrypteret e-mail, og nogle kunder endda dele dem på Facebook eller Instagram. Men, det er ikke engang det værste. Forskeren fandt ud af, at Amadeus platformen ikke har nogen brute-force beskyttelse. Således var det ganske let at finde de PNR antal tilfældige kunder, og dermed deres personlige oplysninger, der er indeholdt i.

Forskeren og hans team kontaktede EL AL straks at advare dem om de farlige fund, opfordret dem til at tage fat på det, før det er udnyttet af en person med ondsindede hensigter. Rotem selv foreslået flere løsninger, såsom "stammer sårbarheden ved at indføre captchas, adgangskoder (i stedet for en 6-tegn PNR kode), og en beskyttelse bot mekanisme, For at undgå at bruge en brute-force tilgang".

Milena Dimitrova

Milena Dimitrova

En inspireret forfatter og indhold leder, der har været med SensorsTechForum siden begyndelsen. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Frist er opbrugt. Venligst genindlæse CAPTCHA.

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...