Хакер под псевдонимом Боб обнаружил серьезные уязвимости в API и на веб-сайте авиакомпании Frontier Airlines. Всего три месяца назад они обнаружили серьезные уязвимости в API и веб-сайте Frontier Airlines, которые позволяли любому, у кого есть код посадочного талона на рейс, получить личную информацию всех пассажиров, включая, но не ограничиваясь, домашним адресом, почти всеми данными кредитных карт, полными паспортными данными и даже кодами TSA PreCheck. Код посадочного талона (называемый PNR) указан на самом талоне или считывается через его штрихкод; кроме того, поскольку он состоит всего из шести цифр, его легко перебрать в цикле, что они и сделали, чтобы получить полную информацию о нескольких пассажирах. Боб уведомил Frontier о проблеме, но компания сделала очень мало для ее устранения; для получения вышеупомянутой информации теперь требовалась фамилия пассажира, которая также напечатана на талоне. Поэтому они опубликовали сообщение в своем блоге с подробным описанием нескольких уязвимостей на веб-сайте Frontier.
Уязвимость безопасности до смешного проста: все, что нужно сделать, это взглянуть на чей-то посадочный талон и либо записать номер и фамилию человека, либо отсканировать соответствующий штрихкод. Любое из этого тривиально сделать с помощью телефона. Затем вы вводите эту информацию в один из конечных пунктов мобильного API Frontier, и вуаля, вы получите ответ, который включает домашний адрес каждого пассажира, адрес электронной почты, номер телефона, полную дату рождения, полные паспортные данные, почти всю информацию о кредитной карте, за исключением 5 средних цифр и CVV, историю платежей, код TSA PreCheck и многое другое.
Вся эта информация может быть использована для кражи личных данных, преследования или любого другого числа злонамеренных преступных действий. Код TSA PreCheck (Known Traveler Number) вызывает особую озабоченность у авиакомпаний, поскольку он открывает возможность для вора личных данных пройти проверки безопасности. Что касается номера кредитной карты, поскольку первые шесть цифр и последние четыре раскрываются вместе с именем владельца карты и сроком действия, достаточно легко угадать пять средних цифр, а затем код CVV на обратной стороне становится единственной несущей нагрузку функцией безопасности.
Однако это далеко не конец. Как выяснил Боб, страницы управления бронированием на веб-сайте Frontier (также доступные только по номеру бронирования и фамилии) в равной степени раскрывают личную информацию в исходном коде и/или запросах API. Стандартные практики безопасности предписывают, чтобы легкодоступные страницы, подобные этой, использовали принцип минимизации данных, извлекая и отображая самый минимум, пока это абсолютно не станет необходимым.
Боб обнаружил, что страница «Управление моим бронированием» четко отображает имя, адрес электронной почты и номер телефона в исходном коде, в то время как страница «Пассажиры / Редактировать» снова раскрывает полное имя каждого человека, страну, дату рождения, полные паспортные данные и номер TSA PreCheck. По иронии судьбы, Frontier попыталась исправить первую проблему, но исправленная версия раскрыла больше информации, чем изначально. Эти страницы скрывают данные для целей отображения, но они находятся прямо в исходном коде и вызовах API.
Эксперт по безопасности изначально связался с Frontier 3 марта и повторно связался 9 марта, пытаясь следовать стандартной 90-дневной процедуре раскрытия информации. Компания исправила одну уязвимость и прислала Бобу в качестве компенсации модель самолета. Боб связался по поводу дополнительных проблем, связанных с раскрытием данных, и начал «обсуждение компенсации» с компанией. Frontier, по-видимому, изменила свое решение относительно надлежащего ответа. Теперь Боб утверждает, что критические уязвимости Frontier все еще активны, и что пассажиры Frontier «заслуживают большего».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bruno Ferreira
