E-Ticketing Flaw предоставляет хакерам данные о пассажирах авиакомпании
Системы электронных билетов восьми авиакомпаний, в том числе Southwest Airlines и голландского перевозчика KLM, имеют уязвимость, которая может раскрыть личную информацию пассажиров (PII), сообщил в среду поставщик мобильной безопасности Wandera.
Они используют незашифрованные ссылки, которые хакеры могут легко перехватить. Затем хакеры могут просматривать и, в некоторых случаях, даже изменять данные бронирования рейса жертвы или распечатывать свои посадочные талоны.
Air France, Vueling, Jetstar, Thomas Cook, Transavia и Air Europa также имеют эту проблему, по словам Вандеры.
«Wandera исследовала системы электронных билетов, используемые более чем 40 авиакомпаниями по всему миру», — сказал Майкл Ковингтон, вице-президент компании.
«В настоящее время в список затронутых авиакомпаний включены только те организации, у которых было достаточно времени, чтобы ответить на наше ответственное раскрытие», — сказал он TechNewsWorld.
Wandera предоставляет поставщикам до четырех недель, чтобы предоставить исправление или соответствующее исправление, прежде чем публично сообщать об уязвимости.

По словам Ковингтона, компания общалась с «некоторыми из затронутых авиакомпаний», но не смогла проверить, были ли внесены какие-либо исправления.
Wandera обнаружила уязвимость в начале декабря, узнав, что клиенту, получившему доступ к системе электронных билетов одной из восьми авиакомпаний, была отправлена информация о пассажире, связанная с поездкой, без шифрования.
Затем выяснилось, были ли другие системы электронных билетов авиакомпаний такими же уязвимыми.
Wandera уведомила авиакомпании, пострадавшие, поскольку она документировала уязвимость.
Он также поделился своими выводами с правительственными учреждениями, отвечающими за безопасность аэропортов.
Незашифрованные ссылки регистрации от указанных авиакомпаний направляют пассажиров на сайт, где они автоматически входят в функцию регистрации на рейс. В некоторых случаях они могут внести определенные изменения в свое бронирование и распечатать посадочный талон.
Как только пассажир получает доступ к уязвимому каналу регистрации, хакер в той же сети может перехватить учетные данные, которые разрешают доступ к системе электронных билетов.
Используя эти учетные данные, хакер может посетить систему электронных билетов в любой момент, даже несколько раз, до вылета рейса и получить доступ ко всей информации, позволяющей установить личность, связанной с бронированием.