Системы бронирования авиабилетов уязвимы для брутфорс-атак

Веб-сайты авиакомпаний, управляющих системами бронирования авиабилетов самостоятельно, могут оказаться неустойчивы к брутфорс-атакам и раскрыть злоумышленникам персональные данные пассажиров. К такому выводу пришел ИБ-специалист Ахмед Эль-Фанаджели (Ahmed El-fanagely). Исследователь разработал инструмент для подбора кода бронирования (passenger name record, PNR) и получения доступа к информации о билете.

Как пояснил аналитик, многие авиакомпании позволяют пассажирам просматривать и изменять информацию о предстоящем полете, указав фамилию и PNR. Это упрощает процедуру покупки и обмена билетов — не требуется создавать личный кабинет для каждого пользователя.

Проблема состоит в том, что перевозчики, самостоятельно управляющие системами бронирования, не всегда защищают их от атаки методом перебора. Таким образом, если злоумышленнику известна фамилия жертвы, он может просто угадать валидный PNR и получить сведения о перелете. Кроме того, киберпреступники способны похитить информацию о билетах всех пассажиров с одной и той же фамилией, по очереди подобрав их коды бронирования.

Вот сведения, которые атакующие могут узнать со страницы бронирования:

• Полное имя жертвы
• Номер паспорта
• Маршрут
• Контактная информация (телефон, адрес электронной почты)
• Дата рождения
• Финансовые данные

Исследователь отмечает, что авиакомпании — владельцы уязвимых сайтов пользуются услугами единой системы бронирования Amadeus. Ранее этот разработчик уже сталкивался с проблемами безопасности данных. Как выяснил ИБ-специалист Ноам Ротем (Noam Rotem), уникальный URL, по которому открывается страница с PNR, содержал номер бронирования. Злоумышленники могли подобрать этот идентификатор и получить доступ к сведениям о перелете, а также добраться до личного кабинета пользователя.

Разработчики Amadeus внедрили защиту от атак методом перебора, но только для тех перевозчиков, которые предоставляют управление системой производителю. Авиакомпании, установившие Amadeus на свои серверы и обслуживающие ее самостоятельно, защищать ее тоже должны сами.

По мнению Эль-Фанаджели, простая капча, появляющаяся после пяти неудачных вводов PNR, существенно снизит вероятность успешной атаки. Специалист уведомил затронутых перевозчиков, но не стал их называть.

Источник: https://threatpost.ru/airline-booking-systems-are-vulnerable-to-bruteforce-attacks/33875/