Эксплуатация уязвимости позволяет получить доступ к информации о рейсе случайного человека, используя распространенные фамилии и брутфорс.
В системах бронирования авиабилетов некоторых авиалиний, находящихся в ведении самих предприятий, обнаружены серьезные уязвимости, подвергающие риску данные клиентов.
Многие авиакомпании позволяют клиентам просматривать и вносить изменения в информацию о рейсе, используя уникальный шестизначный номер бронирования, состоящий из букв и цифр. В свою очередь, этот номер связан с записью регистрации пассажира (PNR) со всеми персональными данными и информацией о полете.
По словам исследователя Ахмеда Эль-Фанаджели (Ahmed El-fanagely), обнаружившего уязвимость, некоторые авиакомпании не внедрили специальные механизмы защиты своих систем бронирования. В связи с этим любой злоумышленник может с помощью брутфорса получить PNR-идентификатор. Ахмед разработал инструмент, позволяющий получить доступ к информации о рейсе случайного человека, используя распространенные фамилии и брутфорс. Также можно отслеживать перелеты конкретного человека, зная фамилию и авиакомпанию, которую он использует. Злоумышленник может использовать этот метод для получения доступа к различным типам информации, включая имя, контактные данные, данные билета, маршрут, номер паспорта, дату рождения и даже информацию об оплате.
Уязвимость затрагивает несколько крупных авиакомпаний в Европе и на Ближнем Востоке. Пострадавшие компании используют систему управления бронированием от Amadeus — расположенного в Испании поставщика глобальных распределительных систем (ГРС), услугами которого пользуются более 200 авиакомпаний по всему миру.
Это не первый случай, когда в продуктах Amadeus находят слабые места. В начале этого года эксперты обнаружили уязвимость, эксплуатация которой могла раскрыть данные миллионов путешественников из-за отсутствия защиты от брутфорса.
Компания Amadeus исправила уязвимость и внедрила средства защиты от брутфорс-атак, однако они работают только в том случае, если сама Amadeus управляет системами бронирования. Авиакомпаниям, размещающим системы в своей инфраструктуре, необходимо внедрять отдельные системы защиты самостоятельно.
