Een groot beveiligingsprobleem die invloed heeft bijna de helft van alle luchtvaartmaatschappijen wereldwijd was net ontdekt door onderzoeker Noam Rotem.
De onderzoeker struikelde over de fout tijdens het boeken van een vlucht met de Israëlische nationale luchtvaartmaatschappij EL AL Israel Airlines. De kwetsbaarheid kan iedereen toegang tot en het knoeien met prive-informatie met betrekking tot het boeken van vluchten, alleen door het gebruik PNR van het slachtoffer (Persoonsgegevens van passagiers) aantal.
Kwetsbaarheid ligt in Amadeus Vlucht boeken System
De kwetsbaarheid in kwestie is gelegen in de populaire online vlucht reserveringssysteem ontwikkeld door Amadeus. Het platform wordt gebruikt 141 internationale luchtvaartmaatschappijen, zoals Lufthansa en Air Canada.
Terwijl het boeken van een vlucht met EL AL, Rotem ontving de volgende link naar zijn PNR-nummer te controleren: https://fly.elal.co.il/LOTS-OF-NUMBERS-HERE. En dat is waar het probleem is: alleen door het veranderen van de RULE_SOURCE_1_ID, de onderzoeker was in staat om alle PNR bekijken en toegang tot de naam van de klant en de bijbehorende vluchtgegevens, Hij zei in zijn rapport, toe te voegen dat:
Met de PNR en de naam van de klant tot onze beschikking, waren we in staat om in te loggen EL AL's customer portal (https://booking.elal.co.il/newBooking/changeOrderNewSite.jsp) en wijzigingen aanbrengen, claimen frequent flyer mijlen om een persoonlijk account, toewijzen zetels en maaltijden, en actualiseren van de klant e-mail en telefoonnummer, die vervolgens kan worden gebruikt om / wijzigen vlucht reserveren via de klantendienst te annuleren.
Opgemerkt dient te worden dat de EL AL stuurt de PNR-codes via niet-versleutelde e-mail, en sommige klanten zelfs deel ze op Facebook of Instagram. Echter, dat is niet eens het ergste. De onderzoeker ontdekte dat de Amadeus-platform geen brute-force beveiligingen heeft. Zo was het vrij eenvoudig om de PNR-nummers van willekeurige klanten te vinden, en daarmee hun persoonlijke informatie die zich binnen.
De onderzoeker en zijn team contact EL AL onmiddellijk om hen te waarschuwen over de gevaarlijke bevindingen, drongen er bij hen aan te pakken voordat het wordt uitgebuit door iemand met kwade bedoelingen. Rotem voorgestelde zelfs meerdere oplossingen, zoals "afremmen van de lek door het inbrengen captcha, wachtwoorden (in plaats van een 6-karakter PNR code), en een beschermingslaag bot mechanisme, om te voorkomen dat via een brute kracht benadering".
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: