CYBER NEWS

Una vulnerabilità in Amadeus Volo Prenotare sistema metta in pericolo 141 Airlines


Un problema di protezione importante che colpisce quasi la metà di tutte le compagnie aeree in tutto il mondo è stato appena scoperto dal ricercatore Noam Rotem.




Il ricercatore imbattuto il difetto al momento della prenotazione di un volo con compagnia di bandiera israeliana El Al Israel Airlines. La vulnerabilità permette a chiunque di accedere e manomettere informazioni private riguardanti le prenotazioni dei voli, semplicemente utilizzando PNR della vittima (Passenger Name Record) numero.

Vulnerabilità Situato in Amadeus Flight Booking System

La vulnerabilità in questione si trovava nel sistema di prenotazione on-line di volo popolare sviluppata da Amadeus. La piattaforma è utilizzata da 141 linee aeree internazionali, come ad esempio Lufthansa e Air Canada.

Correlata: [wplinkpreview url =”https://sensorstechforum.com/delta-air-lines-phishing-email-downloads-hancitor-malware/”]Delta Air Lines Phishing Email Download Hancitor Malware

Mentre prenotazione di un volo con EL AL, Rotem ha ricevuto il seguente Link per controllare il suo numero di PNR: https://fly.elal.co.il/LOTS-OF-NUMBERS-HERE. Ed è qui che il problema è: semplicemente cambiando il RULE_SOURCE_1_ID, il ricercatore è stato in grado di visualizzare qualsiasi PNR e accedere al nome del cliente e dettagli del volo associate, ha detto nel suo rapporto, aggiungendo che:

Con il PNR e il nome del cliente a nostra disposizione, siamo stati in grado di accedere al portale clienti di EL AL (https://booking.elal.co.il/newBooking/changeOrderNewSite.jsp) e di apportare modifiche, rivendicare miglia frequent flyer ad un account personale, assegnare sedili e pasti, e aggiornare e-mail e numero di telefono del cliente, che potrebbero poi essere utilizzato per annullare prenotazione del volo / cambiamento tramite il servizio clienti.

Va notato che la EL AL invia i codici PNR tramite e-mail in chiaro, e alcuni clienti anche condividerli su Facebook o Instagram. Tuttavia, che non è nemmeno il peggiore. Il ricercatore ha scoperto che la piattaforma Amadeus non ha protezioni di forza bruta. Così è stato abbastanza facile trovare i numeri PNR dei clienti casuali, e quindi la loro informazioni personali contenute all'interno.

Il ricercatore e il suo team hanno contattato immediatamente EL AL per avvisare loro circa i risultati pericolosi, esortandoli ad affrontare prima che sia sfruttato da qualcuno con cattive intenzioni. Rotem anche proposto diverse soluzioni, ad esempio "arginare la vulnerabilità introducendo captchas, password (in luogo di un codice PNR 6 caratteri), e un meccanismo di protezione bot, al fine di evitare di utilizzare un approccio forza bruta".

Milena Dimitrova

Milena Dimitrova

Uno scrittore ispirato e gestore di contenuti che è stato con SensorsTechForum fin dall'inizio. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Termine è esaurito. Ricarica CAPTCHA.

Condividi su Facebook Quota
Loading ...
Condividi su Twitter Tweet
Loading ...
Condividi su Google Plus Quota
Loading ...
Condividi su Linkedin Quota
Loading ...
Condividi su Digg Quota
Condividi su Reddit Quota
Loading ...
Condividi su Stumbleupon Quota
Loading ...