Une importante faille de sécurité qui touche a été découvert que près de la moitié de toutes les compagnies aériennes dans le monde entier par le chercheur Noam Rotem.
Le chercheur a trébuché sur la faille lors de la réservation d'un vol avec la compagnie nationale israélienne EL AL Israel Airlines. La vulnérabilité permet à quiconque d'accéder et de falsifier des informations privées concernant les réservations de vols, juste en utilisant le PNR de la victime (Liste de noms des passagers) nombre.
Vulnérabilité Situé dans Amadeus Flight système de réservation
La vulnérabilité en question était situé dans le système de réservation de vol en ligne populaire développé par Amadeus. La plate-forme est utilisée par 141 compagnies aériennes internationales, telles que Lufthansa et Air Canada.
Alors que la réservation d'un vol avec EL AL, Rotem a reçu le lien suivant pour vérifier son numéro PNR: https://fly.elal.co.il/LOTS-OF-NUMBERS-HERE. Et c'est là le problème est: en changeant la RULE_SOURCE_1_ID, le chercheur a pu voir tout PNR et accéder au nom du client et les détails du vol associés, il a dit dans son rapport, ajoutant que:
Avec le PNR et le nom du client à notre disposition, nous avons pu vous connecter au portail client de EL AL (https://booking.elal.co.il/newBooking/changeOrderNewSite.jsp) et apporter des modifications, réclamer des miles de fidélité à un compte personnel, attribuer des sièges et des repas, et mettre à jour e-mail et le numéro de téléphone du client, qui pourrait ensuite être utilisé pour annuler / changement de réservation de vol via le service à la clientèle.
Il convient de noter que EL AL envoie les codes PNR par courrier électronique non crypté, et certains clients de les partager sur Facebook ou même Instagram. Cependant, ce n'est pas même le pire. Le chercheur a découvert que la plate-forme Amadeus n'a pas de protections force brute. Ainsi, il était assez facile de trouver les numéros PNR des clients au hasard, et par conséquent leurs renseignements personnels contenus dans.
Le chercheur et son équipe ont contacté EL AL immédiatement pour les alerter sur les résultats dangereux, les exhortant à y remédier avant qu'il ne soit exploité par une personne ayant des intentions malveillantes. Rotem a même proposé plusieurs solutions, tel que "résultant de la vulnérabilité en introduisant captchas, les mots de passe (à la place d'un code PNR 6 caractères), et un mécanisme de protection de bot, afin d'éviter d'utiliser une approche force brute".
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: