Уязвимость на сайте United Airlines раскрывала данные путешественников

Уязвимость на сайте United Airlines раскрывала данные путешественников

Alexander Antipov

На сайте не была реализована проверка фамилии, что позволяло любому человеку изменить номер билета и получить доступ к данным других клиентов.

image

Сайт одной из крупнейших в мире авиакомпаний United Airlines позволял кому угодно просмотреть информацию о билетах клиентов авиалинии, запросивших возврат средств.

Web-сайт United Airlines позволяет пользователям проверять статус возврата денег. Для этого пользователям нужно указать номер авиабилета и свою фамилию. Однако, как обнаружил ИБ-эксперт Оливер Линоу (Oliver Linow), на сайте не была реализована проверка фамилии, что позволяло любому человеку изменить номер билета и получить доступ к данным других путешественников.

Как пояснил Линоу изданию TechCrunch, он мог видеть информацию о фамилиях клиентов компании, о том, какая валюта использовалась для покупки билета и способ оплаты, а также сумму возврата средств.

Исследователь сообщил компании о проблеме в начале июля нынешнего года, но уязвимость была исправлена только месяц спустя. В настоящее время неясно, как долго она присутствовала на сайте и сообщила ли компания об инциденте регулятору в области защиты данных.

Подписывайтесь на каналы «SecurityLab» в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Источник: Securitylab