Сервис перевозки багажа раскрыл планы поездок всех пользователей из-за веб-жучков.

Анонимный источник ссылается на отчет Wired: авиакомпания, оставляющая все записи о путешествиях своих пассажиров уязвимыми для хакеров, стала бы привлекательной целью для шпионажа. Менее очевидным, но, возможно, еще более полезным для шпионов, был бы доступ к премиальному сервису путешествий, охватывающему 10 различных авиакомпаний, который оставил подробную информацию о рейсах доступной для воров данных и, судя по всему, пользуется популярностью у международных дипломатов. Именно это обнаружила команда исследователей по кибербезопасности в лице Airportr – британской компании, занимающейся перевозкой багажа, которая сотрудничает с авиакомпаниями, позволяя своим клиентам, в основном из Великобритании и Европы, оплачивать забор, регистрацию и доставку багажа до места назначения.

Исследователи из CyberX9 обнаружили, что простые ошибки на веб-сайте Airportr позволяли им получить доступ ко всей личной информации пользователей, включая планы поездок, или даже получить права администратора, которые позволили бы хакеру перенаправить или украсть багаж в пути. Среди небольшого образца данных пользователей, которые исследователи просмотрели и предоставили WIRED, они обнаружили личную информацию и записи о поездках нескольких правительственных чиновников и дипломатов из Великобритании, Швейцарии и США.

Генеральный директор Airportr Рэндел Дарби (Randel Darby) подтвердил выводы CyberX9 в письменном заявлении, предоставленном WIRED, но отметил, что Airportr отключил уязвимую часть бэкенда своего сайта сразу после того, как исследователи сообщили компании о проблемах в апреле и устранили их в течение нескольких дней. "Данные были доступны только этичным хакерам с целью рекомендации улучшений безопасности Airportr, а наш оперативный ответ и смягчение последствий обеспечили отсутствие дальнейшего риска", – написал Дарби в своем заявлении. "Мы серьезно относимся к своей ответственности за защиту данных клиентов".

Исследователи CyberX9, со своей стороны, утверждают, что простота обнаруженных ими уязвимостей означает, что нет гарантии, что другие хакеры не получили доступ к данным Airportr раньше. Они обнаружили, что относительно простая веб-уязвимость позволяла изменить пароль любого пользователя для получения доступа к его учетной записи, имея только адрес электронной почты пользователя, – и они также могли перебирать адреса электронной почты без каких-либо ограничений на сайте. В результате они получили доступ к данным, включая имена, номера телефонов, домашние адреса, подробные планы поездок и историю, авиабилеты, посадочные талоны и информацию о рейсах, изображения паспортов и подписи всех клиентов.

Получив доступ к учетной записи администратора, исследователи CyberX9 утверждают, что хакер также мог бы использовать обнаруженные уязвимости для перенаправления багажа, кражи багажа или даже отмены рейсов на веб-сайтах авиакомпаний, используя данные Airportr для доступа к учетным записям клиентов на этих сайтах. Исследователи также утверждают, что они могли бы использовать свой доступ для отправки электронных писем и текстовых сообщений от имени Airportr, что представляет собой потенциальный риск фишинга.

Airportr сообщает WIRED, что у компании 92 000 пользователей и утверждает на своем веб-сайте, что она обработала более 800 000 единиц багажа для клиентов.

Исследователи обнаружили, что они могли отслеживать коммуникации своего браузера при регистрации в Airportr и создании нового пароля, а затем повторно использовать перехваченный API-ключ из этих коммуникаций для изменения пароля другого пользователя на любой выбранный ими. На сайте также отсутствовала мера безопасности в виде ограничения скорости, которая предотвратила бы автоматический перебор адресов электронной почты для быстрого изменения пароля учетной записи каждого пользователя. Кроме того, исследователи смогли найти адреса электронной почты администраторов Airportr, что позволило им захватить их учетные записи и получить их привилегии в отношении данных и операций компании.

"Любой мог бы получить или мог бы получить абсолютный супер-административный доступ ко всем операциям и данным этой компании", – говорит Химаншу Патак (Himanshu Pathak), основатель и генеральный директор CyberX9. "Уязвимости привели к полной утечке конфиденциальной личной информации всех клиентов авиакомпаний во всех странах, которые пользовались услугами этой компании, включая полный контроль над всеми бронированиями и багажом. Потому что, будучи супер-администратором их наиболее конфиденциальных систем, у вас есть возможность делать все, что угодно".