Diplomaták és tisztviselők is veszélyben
A vizsgált mintákban a szakértők több brit, svájci és amerikai kormányzati tisztviselő, valamint diplomata utazási adatait is megtalálták. Ehhez elég volt egy email-cím, és máris átírhatóvá vált bármelyik felhasználó jelszava, mivel a weboldal nem alkalmazott sebességkorlátozást – így automatizáltan lehetett sorban próbálgatni email-címeket. Adatvédelmi szempontból különösen aggasztó, hogy minden személyes adat, utazási terv, telefonszám, lakcím, repülőjegy, beszállókártya, útlevélkép és aláírás is elérhetővé vált bárki számára, aki kihasználta a hibát. Fontos megjegyezni, hogy még rendszergazdai jogosultságot is sikerült virtuálisan megszerezniük, így az egész cég működésébe be lehetett volna avatkozni – akár járatokat is törölhettek volna más légitársaságok weboldalain keresztül.
Könnyű célpont volt mindenki
Az Airportr vezérigazgatója, Randel Darby elismerte a sebezhetőségeket, és hangsúlyozta, hogy a kutatók 2024 áprilisi jelzése után néhány napon belül gyorsan befoltozták a hibákat. Hozzátette, hogy az adatok kizárólag „etikus hackerek” által kerültek átmenetileg illetéktelen kezekbe. Mindazonáltal, mivel a hibák annyira egyszerűek voltak, lehetetlen biztosan tudni, hogy illetéktelenek nem próbálkoztak-e már korábban. A kutatók kiemelték: csupán egy, a böngésző kommunikációjából kinyert API-kulcsra volt szükség az idegen fiókokhoz való hozzáféréshez, valamint egy egyszerű email-próbálgatás után bárkihez mindenhez hozzá lehetett férni – akár a 92 ezer felhasználó összes poggyászadata, foglalása, személyes adata elérhető volt.
Következésképpen
Lényegében bárki, aki a hibát kihasználta vagy kihasználhatta, teljes rálátást és kontrollt nyerhetett az Airportr összes adata és művelete felett. Ez nemcsak kémkedéshez, hanem bűncselekményekhez, adathalász csalásokhoz is ideális terepet kínált. Az eset jól mutatja, mennyire törékeny lehet a digitális biztonság még prémium szolgáltatások esetén is.
