Comments 38
Т.е. чувак нашел Booking Ref и фамилию пассажира и вошел в кабинет бронирования на сайте авиакомпании. Вау. Это прям взлом века.
Если бы в статье не было бы фоток и глупых шуток (хотя, про премьер-министра мне понравилось) она бы свелась к тому, что "кто-то выложил логин и пароль в инстаграме а я его использовал".
Это не взлом века. Это факап Qantas, которые пихали персональные данные (и прочее не предназначенное для всеобщего обозрения) туда, где этого быть не должно. Вместо Quantas подставьте сервис отслеживания трэк-номера на сайте почты России. Это же не личный кабинет с нормальной авторизацией.
Факап там про непонятные общения сотрудников и дополнительные внутренние данные, которые не относятся к данным, получаемым от пользователя.
То, что там есть паспорт и телефон это теоретически ОК, потому что пользователь вводит эти данные и может их скорректировать при необходимости.
потому что пользователь вводит эти данные и может их скорректировать при необходимости.
Куда он их вводит, в HTML-код страницы? Клиент на этой конкретной странице никакие перс. данные не запрашивал и не получал, так что они в коде делают?
Вероятно потому что разработчики решили не заморачиваться и сериализовать целиком все внутренние объекты, касающиеся перелёта.
Если вы посмотрите на меню страницы, то увидите там два пункта Flight Details и Checkin.
Тут основной момент, почему в случае если билет забронирован турагентом они эти данные показывают. Но если бы это был пользователь, который самостоятельно покупал билет, то эти данные можно было бы даже изменить (в случае, если рейс еще не состоялся)
Насколько я понимаю и помню, check in -- это регистрация на рейс. Т.е. билет уже куплен, и ты можешь сам себя разместить где хочется, если успеешь.
Да, на скриншоте написано, что можно поменять данные. Я сам влип однажды с номером паспорта. Но мне даже на вокзале не смогли помочь. А тут позволить кому угодно это сделать? Плохая идея. Если б какой-нибудь шутник подглядел данные и изменил их перед посадкой? Или во время полёта, а в точке прибытия -- проверка. Я не против возможности изменить некоторые детали, но только после авторизации со своими учётными данными.
Почему вся эта информация осталась общедоступна без авторизации после полёта? Я понимаю, что для определённых целей и ведомств она может быть полезной какое-то время, но кому угодно зачем её отдавать? Клиент уже совершил полёт, менять ему там что-то уже бессмысленно.
Имея код бронирования и вашу фамилию, шутник може просто отменить билет...
Это плохо.
Поэтому крайне не рекомендуется нигде публиковать детали вашего бронирования.
Так я могу и не публиковать, просто кто-то за спиной подсмотрит/сфоткает.
Чтобы купить билет, вы не обязаны регистрироваться или авторизовываться.
Разумеется. Не хочешь регистрироваться -- смирись с отсутствием дополнительной функциональности.
Т.е. чувак нашел Booking Ref и фамилию пассажира и вошел в кабинет бронирования на сайте авиакомпании. Вау. Это прям взлом века.
На тот момент чуваку, насколько можно судить, было 17 лет. С точки зрения подростка это интересное приключение. В таком ключе это действительно читать интересно.
Но ещё открывает глаза на то, как порой бывает сложно сообщить об уязвимостях, и насколько бывают неприветливы компании. А, как известно, чем выше порог входа, тем выше соблазн просто пойти в норку рядом с этой информацией и не лазить через эти пороги.
В статье содержится важная информация: выкладывая "всего лишь" фото посадочного талона вы выкладываете намного больше информации о себе, чем, возможно, хотели.
Это позор века для тех, кто разрабатывал эту систему бронирования. Возможность получения персональных данных по открытым данным из посадочного билета - это они отлично придумали!
Входить в чужой кабинет на сайте, используя чужие данные, даже если они самим чуваком опубликованы в интернете — обычно незаконно и явлеяется неправомерным доступом к информации, если у вас доверенности на это нет. А здесь чувак не собирался публиковать данные, а просто случайно это сделал. Плюс части данных были в двух разных местах и нужны были знания и умысел, чтобы их соединить и найти сайт, куда вводить.
Так что преступление налицо, за что чувака и задержали потом. Плюс ещё оказалось, что нельзя публиковать чужие данные, если это может негативно повлиять на человека.
Прочитайте еще раз внимательно: талоны опубликовал сам премьер в своем инстаграме. Вы можете тоже на него подписаться (или кого-то другого) и получить такой контент. То, что он это запостил, говорит о том, что и премьеры тоже не супер умные люди, а такие же лошары, как и многие другие, кто очень хочет про себя запостить кучу контента для привлечений внимания.
ну это никак не меняет того факта, что его паролем нельзя пользоваться для входа в его личный кабинет на сайт, это как положить ключи для входа в квартиру на лавочке — входить в квартиру всё равно является преступлением
конечно это глупо оставлять ключи и записку с адресом, но чувак не знал, что на его талоне пароль написан, а адрес и логин для входа не трудно найти
есть два отдельных понятия: законность и возможность, замки на дверях тоже плохо защищены и часто легко поддаются открыванию отмычками, но права входа такой способ не даёт
А вы оригинал статьи дальше читали? Там как раз описываются дальнейшие шаги автора. Он делает то, что называется ethical hacking: сначала выявляет уязвимости, а потом говорит о них владельцу. Так что все законно. И статья опубликована с разрешения "пострадавшего" и , скорее всего, этот номер телефона и номер паспорта недействительны. Так о чем речь? Bug hunters тоже не публикуют сразу инфу о дырах, а только после их устранения. И как это: чувак не знал? Такая система есть не только на Qantas, на EasyJet - то же самое: фамилия и букинг номер, что на одном листке бординг пасс - и вы в аккаунте.
По соображениям безопасности, мы стараемся менять премьер-министра каждые полгода и никогда не использовать одного и того же премьер-министра на разных веб-сайтах.
Они правда меняют премьер-министра каждые 6 месяцев?
DEPA Депортированное лицо, сопровождается эскортом
А можно меня тоже депортировать из Австралии?
Может кто то из читающих имеет мотивированный ответ: Является ли номер паспорта чем то значимо секретным / чувствительным? Например зная его можно кредит получить, визу аннулировать, и т.п.
Для фишинга может быть полезно. Ну, не вам, конечно, а тем, кто целенаправленно фишингом в вашем направлении занимается
Это касается любых данных, которые нельзя получить, если вы сами о них не скажете. Когда сотрудник СБ банка говорит вам ваш номер паспорта, это звучит более весомо чем "Какой-то Кто-то Кто-тович"
Даже если сотрудник СБ банка назовет мне номер паспорта, я все равно отвечу - "Вы ошиблись, это приёмная ФСИН по республике Мордовия". И перезвоню в банк сам.
В интернете все умные. Но социальная инженерия тем эффективнее, чем больше данных есть.
Допустим конкретно ты, человек за ником Raegdan, ответишь, а твои родители - могут и не ответить.
Не важно, что каждый конкретный человек предпримет, важно что эффективность фишинга растёт. Фишинг и не нацелен на таких умных молодцов, которые придумывают, как они круто скамеров обманывают.
Да понятное дело, что скам в первую очередь на пожилых и технически неподкованных рассчитан. Впрочем проблема это интернациональная. Нам звонят зеки из сбера, а американцам - индусы из майкрософта и амазона. На ютубе есть много видео, как их жестко пранкуют, в том числе ставят на вид за "scamming poor old ladies".
У меня СБ банка (настоящая) спрашивала номер паспорта для подтверждения "подозрительной" транзакции. Плюс еще спрашивали в опсосе при запросе потерянного PUK кода. По-моему еще где в районе налоговой или ПФ было тоже, но уже не помню. Все по телефону или на сайте.
Так что лучше его лишний раз не светить.
Является ли номер паспорта чем то значимо секретным / чувствительным?
Да, он является чувствительным, как некий маркер соответствия информации, которую он сопровождает, той личности, которой принадлежит. Помимо этого, не знаю как в Австралии, а в РФ в номере паспорта содержится регион и примерный год его получения.
OSINT
Год получить проблемно - их регулярно не хватает - я, например, в середине 22-го года получал паспорт на бланке 23-го, и это далеко не первый раз, когда бланков "этого года" не хватает. Тут где-то статья была с расшифровкой...
Например в РФ Запросить код восстановления пароля Госуслуг, и воспользоваться соц инженерией для получения его.
Назвать плавательный бассейн в честь утонувшего премьер-министра - это знатный черный юмор :)
Вот это прикол
По соображениям безопасности, мы стараемся менять премьер-министра каждые полгода и никогда не использовать одного и того же премьер-министра на разных веб-сайтах.
Опубликован перевод только половины оригинальной статьи. Вторая половина тоже интересна, как автор пытается об этой проблеме рассказать участникам процесса
Автору статьи нужно идти работать водовозом. С руками оторвут.
Как я узнал номер паспорта и телефон премьер-министра по фото в Instagram*