CYBER NOUVELLES

Une vulnérabilité dans Amadeus Flight système de réservation Affecte 141 compagnies aériennes


Une importante faille de sécurité qui touche a été découvert que près de la moitié de toutes les compagnies aériennes dans le monde entier par le chercheur Noam Rotem.




Le chercheur a trébuché sur la faille lors de la réservation d'un vol avec la compagnie nationale israélienne EL AL Israel Airlines. La vulnérabilité permet à quiconque d'accéder et de falsifier des informations privées concernant les réservations de vols, juste en utilisant le PNR de la victime (Liste de noms des passagers) nombre.

Vulnérabilité Situé dans Amadeus Flight système de réservation

La vulnérabilité en question était situé dans le système de réservation de vol en ligne populaire développé par Amadeus. La plate-forme est utilisée par 141 compagnies aériennes internationales, telles que Lufthansa et Air Canada.

en relation: [wplinkpreview url =”https://sensorstechforum.com/delta-air-lines-phishing-email-downloads-hancitor-malware/”]Delta Air Lines Phishing Email Téléchargements Hancitor Malware

Alors que la réservation d'un vol avec EL AL, Rotem a reçu le lien suivant pour vérifier son numéro PNR: https://fly.elal.co.il/LOTS-OF-NUMBERS-HERE. Et c'est là le problème est: en changeant la RULE_SOURCE_1_ID, le chercheur a pu voir tout PNR et accéder au nom du client et les détails du vol associés, il a dit dans son rapport, ajoutant que:

Avec le PNR et le nom du client à notre disposition, nous avons pu vous connecter au portail client de EL AL (https://booking.elal.co.il/newBooking/changeOrderNewSite.jsp) et apporter des modifications, réclamer des miles de fidélité à un compte personnel, attribuer des sièges et des repas, et mettre à jour e-mail et le numéro de téléphone du client, qui pourrait ensuite être utilisé pour annuler / changement de réservation de vol via le service à la clientèle.

Il convient de noter que EL AL envoie les codes PNR par courrier électronique non crypté, et certains clients de les partager sur Facebook ou même Instagram. Cependant, ce n'est pas même le pire. Le chercheur a découvert que la plate-forme Amadeus n'a pas de protections force brute. Ainsi, il était assez facile de trouver les numéros PNR des clients au hasard, et par conséquent leurs renseignements personnels contenus dans.

Le chercheur et son équipe ont contacté EL AL immédiatement pour les alerter sur les résultats dangereux, les exhortant à y remédier avant qu'il ne soit exploité par une personne ayant des intentions malveillantes. Rotem a même proposé plusieurs solutions, tel que "résultant de la vulnérabilité en introduisant captchas, les mots de passe (à la place d'un code PNR 6 caractères), et un mécanisme de protection de bot, afin d'éviter d'utiliser une approche force brute".

Milena Dimitrova

Milena Dimitrova

Un écrivain inspiré et gestionnaire de contenu qui a été avec SensorsTechForum depuis le début. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Délai est épuisé. S'il vous plaît recharger CAPTCHA.

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...