Comments 54
«Не пускайте программистов в интернет — они обязательно там что-нибудь сломают.»
Ну хоть починили, а не стали отмазываться, что всё нормально, а автор — злобный хакер, который нанёс стомиллионный ущерб критическому сервису и ему надо атата выписать.
Скидку на билеты хоть предложили?
«информация о пассажирах была доступна любому пользователю с любого устройства лишь по PNR коду.»
Был вроде не очень давно вроде бы скандал с очень похожей дырой у другой АК.
Ну хоть починили, а не стали отмазываться, что всё нормально, а автор — злобный хакер, который нанёс стомиллионный ущерб критическому сервису и ему надо атата выписать.
Скидку на билеты хоть предложили?
«информация о пассажирах была доступна любому пользователю с любого устройства лишь по PNR коду.»
Был вроде не очень давно вроде бы скандал с очень похожей дырой у другой АК.
Скидку? За что? Данные же не являются конфиденциальными с точки зрения авиакомпании, а значит уязвимости нет
Главное американцам такого не писать, а то закроют, скажут русский хаккер, поломал систему.
Насколько я знаю, код бронирования это что-то вроде пароля. Его, по идее, должен знать только сам пассажир и агенство.
контакты данных служб являются конфиденциальной информацией
Походу дела, люди в принципе не знакомы с понятием и определением «конфиденциальной информации». В переводе на человечий это значит — «Я не несу ни за что ответственности и не хочу нести, я понятия не имею, можно ли вам дать эти контакты, мне лениво спрашивать у начальства, и моя хата — с краю, а вдруг чо.»
Сколько же всякого людского тупизма, сколько лени и инертности прикрывается фразой «это конфиденциальная информация». Доходило до того, что сотрудники сервис-центра залепили мне такую отговорку, когда я спросил, авторизованным партнером каких вендоров они являются! Товарищу аналогично ответили, когда он попросил показать, на основании каких документов запрещена фотосъемка витрин в магазине.
Но чтобы причислить контакты СБ к «конфиденциальной информации»… это финиш.
Для этого и нужен отдельный канал связи, что бы не сотрудник клиентской поддержки принимал решение, что отвечать клиенту, а компетентный безопасник.
А поулчается, ты пишешь оператору про приватные данные, а он отвечает тебе про конфиценциальные.
А поулчается, ты пишешь оператору про приватные данные, а он отвечает тебе про конфиценциальные.
Контакты СБ могут быть «служебной информацией». То что у них нет публичного контакта — другое дело.
Таким образом уже имеющиеся данные, на мой взгляд, можно считать персональными, а факт публичного доступа к ним — нарушением закона о защите персональных данных.
Закон — как дышло. Одно дело — когда заходишь на страничку, и видишь чужие данные. совсем другое — когда открываешь инструменты разработчика, начинаешь анализировать подноготную обмена. Перебирать PNR, и вот это вот все. Тут уже не публичный доступ к персональным данным — тут уже вмешательство в работу могут припаять.
1. Заглавие статьи: Получаем список пассажиров рейсов авиакомпании… Но данные-то — только об одном пассажире. Либо этой компанией только он и летает, либо название не соответствует содержанию.
2. Номер PNR — действительно что-то вроде пароля, как уже указано выше. Если его какой-нибудь «шутник» узнает, он может и бронирование отменить. Так что…
2. Номер PNR — действительно что-то вроде пароля, как уже указано выше. Если его какой-нибудь «шутник» узнает, он может и бронирование отменить. Так что…
Но данные-то — только об одном пассажире.
Это сделано с этической точки зрения, но этого достаточно, что бы доказать, что данные других пользователей также доступны.
Автор же во второй части рассказывает, как инкрементальным перебором номеров получать PNR.
хоть статью дочитай перед там как писать, что-то.
Вообще, код бронирования — опасная штука. У некоторых авиакомпаний можно, зная код бронирования и фамилию пассажира, получить его полное ФИО и паспортные данные, которые были указаны при заказе. Плюс всю информацию о полёте и других пассажирах в одном бронировании (?).
а в некоторых компаниях еще и все будущие запланированные поездки
UPD: если я правильно нашел, то у МАУ можно поискать свой рейс на checkmytrip.com по имени и коду бронирования. Проверьте, пожалуйста, кто может.
Tickets.ua пишет, что для проверки статусов билетов есть следующий сайты:
www.checkmytrip.com — для авиабилетов, забронированных через Amadeus;
www.viewtrip.com — для авиабилетов, забронированных через Galileo;
www.virtuallythere.com — для авиабилетов, забронированных через Sabre;
www.myairlines.ru — для авиабилетов, забронированных через Сирену.
www.checkmytrip.com — для авиабилетов, забронированных через Amadeus;
www.viewtrip.com — для авиабилетов, забронированных через Galileo;
www.virtuallythere.com — для авиабилетов, забронированных через Sabre;
www.myairlines.ru — для авиабилетов, забронированных через Сирену.
… а на checkmytrip.com немного поменялась процедура, теперь им нужно отправлять подтверждение бронирования на e-mail.
dinikin, а вам нравится взрывать себе мозг репортами в компании, которые и не слышали о политике vulnerability disclosure? :) Некоторые не такие как сдержанные и этичные как вы #FuckResponsibleDisclosure
Это еще хорошо, что взялись пофиксить, кстати, как долго фиксили?
Это еще хорошо, что взялись пофиксить, кстати, как долго фиксили?
Работал в своё время в авиакомпании, но не в МАУ. Хочу сказать спасибо автору за бдительность. К сожалению национальный и единственный перевозчик настолько убог, что даже не удивлён. Были у них этапы, когда им на топливо с трудом хватало, а вы хотите офицера безопасности найти, его контакты.
Действительно с помощью pnr и фамилии можно получить данные, которые по идее должны быть защищены, но подавляющее большинство а/к так и остались в прошлом веке.
Есть ресурсы от тех же систем бронирования, которые позволяют введя pnr и фамилию законно получить данные. Тут уже дело в настройках, которые по умолчанию многое показывают. В некоторых GDS есть возможность ограничивать вывод «чувствительных данных». В целом индустрия в упадке, каждый ищет себя, пытается найти выход, но получается не очень.
На месте МАУ я бы Вам бесплатные билеты выдал.
Действительно с помощью pnr и фамилии можно получить данные, которые по идее должны быть защищены, но подавляющее большинство а/к так и остались в прошлом веке.
Есть ресурсы от тех же систем бронирования, которые позволяют введя pnr и фамилию законно получить данные. Тут уже дело в настройках, которые по умолчанию многое показывают. В некоторых GDS есть возможность ограничивать вывод «чувствительных данных». В целом индустрия в упадке, каждый ищет себя, пытается найти выход, но получается не очень.
На месте МАУ я бы Вам бесплатные билеты выдал.
Меня еще удивляет регистрация и авторизация в «Панорама клаб». При регистрации пароль обязательно должен быть из 6 цифр! Причем при авторизации нужно указать лишь номер карты, а она всегда имеет формат 100XXXXXXX — где Х, только цифры. Причем при авторизации нет никакой каптчи. Стоит только пройтись по всем номерам карт с паролями «123456» и т.п.
Места для авиакомпании, не считая «высокого сезона» это самый примитивный и выгодный момент взаиморасчетов. По сути, это как продажа воздуха.
Но убогость проявляется во всех сферах деятельности. И часта эта убогость выражается не в финансах…
Но убогость проявляется во всех сферах деятельности. И часта эта убогость выражается не в финансах…
Кстати похожая уязвимость есть и у Белавиа. Я тоже когда бронировал места мне выдавался список пассажиров на данном PNR. В принципе можно было сделать так что забронировать места для пассажиров из одной семьи на разных рядах. Если быть редиской
А вот если это была бы статья про российского оператора, то в комментариях столько бы тонн грязи полилось по теме «в рашке всё плохо». И bug bounty program нет, и сотрудники негодяи бестолковые, не то что в штатах. Где-то на хабре даже есть подобная статья, но про банк кажется.
Вопрос с другой темы:
Что будет банку, если он нарушил PCI DSS?
Что будет банку, если он нарушил PCI DSS?
Думаю, что любая компания, у которой есть публичный интернет сервис обязана не только не скрывать контакты «служб», а наоборот, специально указывать на сайте конкретный адрес или форму, по которому можно связаться в случае найденной уязвимости.
В идеале конечно еще bugbounty открыть, но это я размечтался.
В идеале конечно еще bugbounty открыть, но это я размечтался.
Какая компания, такой и сайт. Летал с ними дважды — первый раз в Тель-Авив, при цене чуть выше конкурента El Al отсутствовало не то что питание (в отличие от конкурента), второй стакан воды который я попросил мне предложили купить. Самолет хуже, сиденья неудобные.
Второй раз в Милан прошлой осенью — опоздали с вылетом на 4 часа, в аэропорт попал в половине второго ночи, никто из компании даже не почесался чтобы доставку пассажиров в город сделать из Бергамо.
Второй раз в Милан прошлой осенью — опоздали с вылетом на 4 часа, в аэропорт попал в половине второго ночи, никто из компании даже не почесался чтобы доставку пассажиров в город сделать из Бергамо.
Автор поста умалчивает детали. Чтобы отослать и получить PNR по TransactionId нужно так же чтобы в запросе была кука SESSION=9b2b4e6a-7107-49bd-9980-627aba16e71c;. А если куки не будет, то в ответ прийдет 403. Поэтому фактически перебрать TransactionId не перебирая гуид в SessionID — весьма проблемно
Еще один в камень в огород МАУ и повод ими не пользоватся.
Уровень разработчиков МАУ уже можно понять по тому, что весь их сайт работает на бесплатной и опенсорсной MODX Revolution, однако они не удосуживаются даже обновлять CMS до последней версии:
MODX Revolution 2.5.7-pl (April 20, 2017)
Хотя бы публичные уязвимости таким образом можно было закрыть, что уж тут говорить о приватных.
MODX Revolution 2.5.7-pl (April 20, 2017)
Хотя бы публичные уязвимости таким образом можно было закрыть, что уж тут говорить о приватных.
Контакты СБ являются конфиденциальными, а ПД пассажиров — нет? Что-то в этом мире этой компании не так!
Кстати, довольно часто встречаю ответ, что контакты СБ не разглашаются. Они там, суровые и неподкупные, боятся, что ли, что с ними люди общаться станут?
P.S. До сих пор радует протранслированный ответ ИТ-ников, что «проблему начали устранять», но ответ уже есть, что «это никакая не проблема». Они бы написали, кто лично такое ответил, что ли!
Кстати, довольно часто встречаю ответ, что контакты СБ не разглашаются. Они там, суровые и неподкупные, боятся, что ли, что с ними люди общаться станут?
P.S. До сих пор радует протранслированный ответ ИТ-ников, что «проблему начали устранять», но ответ уже есть, что «это никакая не проблема». Они бы написали, кто лично такое ответил, что ли!
Sign up to leave a comment.
Получаем список пассажиров рейсов крупнейшего авиаперевозчика Украины