Пользователь ресурса «Хабрахабр» под ником dinikin рассказал о достаточно серьезной уязвимости, а точнее – цепочке уязвимостей, на сайте крупнейшего украинского авиаперевозчика «Международные авиалинии Украины» (МАУ). Сразу оговорим, что на данный момент проблема уже устранена, но, как говорится, осадочек остался.
Автор публикации рассказывает, что обнаружил уязвимости случайно, пытаясь разобраться, почему сайт МАУ загружается медленно и не всегда полностью.
Используя эти уязвимости можно посредством соответствующих запросов узнавать данные о пассажирах авиакомпании по одному лишь PNR коду (номеру бронирования). Среди данных, доступ к которым открывает брешь, практически все о человеке: ФИО, взрослый это или ребенок, номер рейса, аэропорты отбытия и прибытия, время отбытия, дату рождения и пр.
Что интересно, описанный пользователем способ, позволял получать данные не об одном конкретном пассажире, а обо всех пассажирах, включенных в то или иное бронирование (если бронирование содержит данные о нескольких лицах).
Затем пользователь выяснил, что сайт содержит еще одну уязвимость, позволяющую путем подстановки инкрементального значения ID транзакции узнавать реальные коды бронирования и использовать их в предыдущих запроса для последующего получения подробной информации о клиентах по PNR коду.
В совокупности эти уязвимости, как отмечает автор публикации, могли быть использованы злоумышленниками для создания сервиса, который в режиме реального времени и незаметно для администраторов сможет составлять список пассажиров рейсов авиакомпании со всеми персональными данными.
Понятно, что никакой конфиденциальности уже давно не существует, но в данном случае просматривается явное нарушение закона о защите персональных данных и повод для иска. Впрочем, пока неизвестно ни об одном случае успешной эксплуатации данных уязвимостей. Сколько времени существуют эти уязвимости, тоже неясно.
Отдельно человек, обнаруживший уязвимость, пожурил МАУ за отсутствие отдельного канала связи для сообщений о найденных уязвимостях. Также его «удивила» позиция компании по проблеме – в одном из сообщений сотрудник службы поддержки заявил, что данные, которые можно получить посредством найденной уязвимости, не являются конфиденциальной информацией, в отличие от контактов разработчиков, занимающихся устранением проблемы.
Источник: «Хабрахабр»