Уязвимость в системе бронирования угрожает почти половине авиакомпаний мира

Система бронирования авиабилетов Amadeus, используемая почти половиной всех авиаперевозчиков мира, содержит серьезную уязвимость, сообщили исследователи компании Safety Detective. Ранее они в частном порядке уведомили о проблеме представителей Amadeus, однако выпущенное теми обновление безопасности оказалось формальным и не ликвидировало угрозу.

Система Amadeus присваивает каждому бронированию уникальный код – шестизначную комбинацию букв и цифр, ассоциированную с записью данных пассажира (Passenger Name Record - PNR). PNR используется, в том числе, и правоохранительными органами для проверки личностей пассажиров. Как выяснил исследователь Ноам Ротем, код бронирования можно ввести в URL-адрес. Если бронирование является актуальным, в браузере откроется страница с именем пассажира. Зная это имя и код бронирования, любой желающий может авторизоваться на сайте авиакомпании и далее выполнить целый ряд действий. Например, изменить место в салоне, указать иные контактные данные, перевести бонусные мили на другой аккаунт или вовсе отменить бронирование. Очевидно, что такие возможности привлекут внимание злоумышленников всех мастей – от заурядных хулиганов до террористов. Разумеется, узнать актуальный код бронирования – непростая задача, но проблема в том, что система не защищена от атак по типу brute-force. И киберпреступники могут упражняться сколь угодно долго, вводя в URL-адрес все новые комбинации букв и цифр, пока не наткнутся на подходящие варианты.

По оценкам Safety Detective, уязвимости подвержены все 144 авиакомпании, пользующиеся услугами Amadeus. В их числе такие крупные перевозчики как British Airways, Air France и United Airlines.


Источник:  The Register

Возврат к списку