CYBER NEWS

Door een beveiligingslek in Amadeus Vlucht boeken aantast 141 luchtvaartmaatschappijen


Een groot beveiligingsprobleem die invloed heeft bijna de helft van alle luchtvaartmaatschappijen wereldwijd was net ontdekt door onderzoeker Noam Rotem.




De onderzoeker struikelde over de fout tijdens het boeken van een vlucht met de Israëlische nationale luchtvaartmaatschappij EL AL Israel Airlines. De kwetsbaarheid kan iedereen toegang tot en het knoeien met prive-informatie met betrekking tot het boeken van vluchten, alleen door het gebruik PNR van het slachtoffer (Persoonsgegevens van passagiers) aantal.

Kwetsbaarheid ligt in Amadeus Vlucht boeken System

De kwetsbaarheid in kwestie is gelegen in de populaire online vlucht reserveringssysteem ontwikkeld door Amadeus. Het platform wordt gebruikt 141 internationale luchtvaartmaatschappijen, zoals Lufthansa en Air Canada.

Verwant: [wplinkpreview url =”https://sensorstechforum.com/delta-air-lines-phishing-email-downloads-hancitor-malware/”]Delta Air Lines Phishing E-mail Downloads Hancitor Malware

Terwijl het boeken van een vlucht met EL AL, Rotem ontving de volgende link naar zijn PNR-nummer te controleren: https://fly.elal.co.il/LOTS-OF-NUMBERS-HERE. En dat is waar het probleem is: alleen door het veranderen van de RULE_SOURCE_1_ID, de onderzoeker was in staat om alle PNR bekijken en toegang tot de naam van de klant en de bijbehorende vluchtgegevens, Hij zei in zijn rapport, toe te voegen dat:

Met de PNR en de naam van de klant tot onze beschikking, waren we in staat om in te loggen EL AL's customer portal (https://booking.elal.co.il/newBooking/changeOrderNewSite.jsp) en wijzigingen aanbrengen, claimen frequent flyer mijlen om een ​​persoonlijk account, toewijzen zetels en maaltijden, en actualiseren van de klant e-mail en telefoonnummer, die vervolgens kan worden gebruikt om / wijzigen vlucht reserveren via de klantendienst te annuleren.

Opgemerkt dient te worden dat de EL AL stuurt de PNR-codes via niet-versleutelde e-mail, en sommige klanten zelfs deel ze op Facebook of Instagram. Echter, dat is niet eens het ergste. De onderzoeker ontdekte dat de Amadeus-platform geen brute-force beveiligingen heeft. Zo was het vrij eenvoudig om de PNR-nummers van willekeurige klanten te vinden, en daarmee hun persoonlijke informatie die zich binnen.

De onderzoeker en zijn team contact EL AL onmiddellijk om hen te waarschuwen over de gevaarlijke bevindingen, drongen er bij hen aan te pakken voordat het wordt uitgebuit door iemand met kwade bedoelingen. Rotem voorgestelde zelfs meerdere oplossingen, zoals "afremmen van de lek door het inbrengen captcha, wachtwoorden (in plaats van een 6-karakter PNR code), en een beschermingslaag bot mechanisme, om te voorkomen dat via een brute kracht benadering".

Milena Dimitrova

Milena Dimitrova

Een geïnspireerde schrijver en content manager die heeft met SensorsTechForum sinds het begin. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Termijn is uitgeput. Laad CAPTCHA.

Delen op Facebook Aandeel
Loading ...
Delen op Twitter Gekwetter
Loading ...
Delen op Google Plus Aandeel
Loading ...
Delen op Linkedin Aandeel
Loading ...
Delen op Digg Aandeel
Deel op Reddit Aandeel
Loading ...
Delen op StumbleUpon Aandeel
Loading ...