pro100lev

Уязвимость в системах бронирования авиабилетов ставит под угрозу данные клиентов

Senator
Оффлайн

Senator

Заблокирован
.
Регистрация
12.01.18
Сообщения
1.064
Реакции
189
Репутация
10
Обратите внимание, если вы хотите провести сделку с данным пользователем, на то, что он заблокирован! Обязательно используйте услуги гаранта и не переводите денежные средства данному пользователю первым.
You must be registered for see images attach

В системах бронирования авиабилетов некоторых авиалиний, находящихся в ведении самих предприятий, обнаружены серьезные уязвимости, подвергающие риску данные клиентов.

Многие авиакомпании позволяют клиентам просматривать и вносить изменения в информацию о рейсе, используя уникальный шестизначный номер бронирования, состоящий из букв и цифр. В свою очередь, этот номер связан с записью регистрации пассажира (PNR) со всеми персональными данными и информацией о полете.

По словам исследователя Ахмеда Эль-Фанаджели (Ahmed El-fanagely), обнаружившего уязвимость, некоторые авиакомпании не внедрили специальные механизмы защиты своих систем бронирования. В связи с этим любой злоумышленник может с помощью брутфорса получить PNR-идентификатор. Ахмед разработал инструмент, позволяющий получить доступ к информации о рейсе случайного человека, используя распространенные фамилии и брутфорс. Также можно отслеживать перелеты конкретного человека, зная фамилию и авиакомпанию, которую он использует. Злоумышленник может использовать этот метод для получения доступа к различным типам информации, включая имя, контактные данные, данные билета, маршрут, номер паспорта, дату рождения и даже информацию об оплате.

Уязвимость затрагивает несколько крупных авиакомпаний в Европе и на Ближнем Востоке. Пострадавшие компании используют систему управления бронированием от Amadeus — расположенного в Испании поставщика глобальных распределительных систем (ГРС), услугами которого пользуются более 200 авиакомпаний по всему миру.

Это не первый случай, когда в продуктах Amadeus находят слабые места. В начале этого года эксперты обнаружили уязвимость, эксплуатация которой могла раскрыть данные миллионов путешественников из-за отсутствия защиты от брутфорса.

Компания Amadeus исправила уязвимость и внедрила средства защиты от брутфорс-атак, однако они работают только в том случае, если сама Amadeus управляет системами бронирования. Авиакомпаниям, размещающим системы в своей инфраструктуре, необходимо внедрять отдельные системы защиты самостоятельно.


*Источник - https://www.securitylab.ru/news/500626.php
 
Войдите или зарегистрируйтесь для ответа.
Сверху Снизу