Из-за уязвимости на сайте МАУ обычный программист получил доступ к личным данным пассажиров

Размещено: 26.02.2018
Из-за уязвимости на сайте МАУ обычный программист получил доступ к личным данным пассажиров

Сайт Международных Авиалиний Украины (МАУ) позволял получить список пассажиров рейсов авиаперевозчика. Соответствующую уявзимость на сайте МАУ обнаружил пользователь сайта Хабрахабр и Java-разработчик по совместительству Денис с никнеймом @dinikin. 

Сперва у Дениса не отображалась страница выбора мест на схеме самолета. Он решил открыть код страницы с помощью инструмента разработчика Google Chrome.

Убедившись в том, что запрос, который возвращает список доступных мест, выполнялся во всех браузерах успешно, он обнаружил, что по запросу выдается абсолютно любому пользователю, имеющему PNR-код (Passenger name record - код бронирования с данными пассажира). Это означает, что зная всего лишь код бронирования любой пользователь мог получить доступ к следующим данным: фамилия, имя, взрослый/ребенок, номер рейса, аэропорты прибытия/отбытия, время отбытия.

Проанализировав страницу с заказом места для багажа, Денис обнаружил, что сервер выдает также и дату рождения по все тому же PNR-коду. 

На странице оплаты он увидел, что при переборе значений инкрементального ID транзакции, теоретически, злоумышленниги смогут получить информацию о клиентах компании по PNR-коду. Имея доступ ко всем этим запросам, злоумышленники могут создать сервис, который в режиме реального времени способен составлять список пассажиров рейсов авиакомпании без ведома администраторов ресурсов.

Своими находками Денис поделился с представителями авиакомпании, которые заверили, что по запросу клиентов список пассажиров рейса они не передают. В итоге разработчики закрыли все вышеуказанные уязвимости за месяц.

Как ранее сообщал NEWSONE, в МАУ планируют открыть ряд новых авиарейсов в ближайшие пять лет.


Подписывайся на NEWSONE в Telegram. Узнавай первым самые важные новости.