Az utazási csomagszolgáltatás minden utasa kifosztható volt

Egy brit székhelyű prémium csomagszolgáltatás, az Airportr komoly kiberbiztonsági hibákat rejtett weboldalán, amelyek minden felhasználó utazási terveit, sőt csomagjait is veszélyeztették. A szolgáltatás főként az Egyesült Királyságban és Európában élő utazók körében népszerű, és tíz nagy légitársasággal működik együtt, lehetővé téve, hogy a csomagokat háztól a repülőtérig, majd a célig szállítsák. A mesterséges intelligenciát is használó CyberX9 biztonsági kutatói fedezték fel, hogy egyszerű hibák révén akár a legmagasabb szintű hozzáférést is megszerezhették volna a támadók: így nemcsak a felhasználói fiókokat törhették volna fel, hanem akár átrendezhették, ellophatták vagy át is irányíthatták volna a csomagokat szállítás közben.

Diplomaták és tisztviselők is veszélyben

A vizsgált mintákban a szakértők több brit, svájci és amerikai kormányzati tisztviselő, valamint diplomata utazási adatait is megtalálták. Ehhez elég volt egy email-cím, és máris átírhatóvá vált bármelyik felhasználó jelszava, mivel a weboldal nem alkalmazott sebességkorlátozást – így automatizáltan lehetett sorban próbálgatni email-címeket. Adatvédelmi szempontból különösen aggasztó, hogy minden személyes adat, utazási terv, telefonszám, lakcím, repülőjegy, beszállókártya, útlevélkép és aláírás is elérhetővé vált bárki számára, aki kihasználta a hibát. Fontos megjegyezni, hogy még rendszergazdai jogosultságot is sikerült virtuálisan megszerezniük, így az egész cég működésébe be lehetett volna avatkozni – akár járatokat is törölhettek volna más légitársaságok weboldalain keresztül.

Könnyű célpont volt mindenki

Az Airportr vezérigazgatója, Randel Darby elismerte a sebezhetőségeket, és hangsúlyozta, hogy a kutatók 2024 áprilisi jelzése után néhány napon belül gyorsan befoltozták a hibákat. Hozzátette, hogy az adatok kizárólag „etikus hackerek” által kerültek átmenetileg illetéktelen kezekbe. Mindazonáltal, mivel a hibák annyira egyszerűek voltak, lehetetlen biztosan tudni, hogy illetéktelenek nem próbálkoztak-e már korábban. A kutatók kiemelték: csupán egy, a böngésző kommunikációjából kinyert API-kulcsra volt szükség az idegen fiókokhoz való hozzáféréshez, valamint egy egyszerű email-próbálgatás után bárkihez mindenhez hozzá lehetett férni – akár a 92 ezer felhasználó összes poggyászadata, foglalása, személyes adata elérhető volt.

Következésképpen

Lényegében bárki, aki a hibát kihasználta vagy kihasználhatta, teljes rálátást és kontrollt nyerhetett az Airportr összes adata és művelete felett. Ez nemcsak kémkedéshez, hanem bűncselekményekhez, adathalász csalásokhoz is ideális terepet kínált. Az eset jól mutatja, mennyire törékeny lehet a digitális biztonság még prémium szolgáltatások esetén is.

2025, adminboss, yro.slashdot.org alapján

Share on Social Media