Un problema di protezione importante che colpisce quasi la metà di tutte le compagnie aeree in tutto il mondo è stato appena scoperto dal ricercatore Noam Rotem.
Il ricercatore imbattuto il difetto al momento della prenotazione di un volo con compagnia di bandiera israeliana El Al Israel Airlines. La vulnerabilità permette a chiunque di accedere e manomettere informazioni private riguardanti le prenotazioni dei voli, semplicemente utilizzando PNR della vittima (Passenger Name Record) numero.
Vulnerabilità Situato in Amadeus Flight Booking System
La vulnerabilità in questione si trovava nel sistema di prenotazione on-line di volo popolare sviluppata da Amadeus. La piattaforma è utilizzata da 141 linee aeree internazionali, come ad esempio Lufthansa e Air Canada.
Mentre prenotazione di un volo con EL AL, Rotem ha ricevuto il seguente Link per controllare il suo numero di PNR: https://fly.elal.co.il/LOTS-OF-NUMBERS-HERE. Ed è qui che il problema è: semplicemente cambiando il RULE_SOURCE_1_ID, il ricercatore è stato in grado di visualizzare qualsiasi PNR e accedere al nome del cliente e dettagli del volo associate, ha detto nel suo rapporto, aggiungendo che:
Con il PNR e il nome del cliente a nostra disposizione, siamo stati in grado di accedere al portale clienti di EL AL (https://booking.elal.co.il/newBooking/changeOrderNewSite.jsp) e di apportare modifiche, rivendicare miglia frequent flyer ad un account personale, assegnare sedili e pasti, e aggiornare e-mail e numero di telefono del cliente, che potrebbero poi essere utilizzato per annullare prenotazione del volo / cambiamento tramite il servizio clienti.
Va notato che la EL AL invia i codici PNR tramite e-mail in chiaro, e alcuni clienti anche condividerli su Facebook o Instagram. Tuttavia, che non è nemmeno il peggiore. Il ricercatore ha scoperto che la piattaforma Amadeus non ha protezioni di forza bruta. Così è stato abbastanza facile trovare i numeri PNR dei clienti casuali, e quindi la loro informazioni personali contenute all'interno.
Il ricercatore e il suo team hanno contattato immediatamente EL AL per avvisare loro circa i risultati pericolosi, esortandoli ad affrontare prima che sia sfruttato da qualcuno con cattive intenzioni. Rotem anche proposto diverse soluzioni, ad esempio "arginare la vulnerabilità introducendo captchas, password (in luogo di un codice PNR 6 caratteri), e un meccanismo di protezione bot, al fine di evitare di utilizzare un approccio forza bruta".
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: