שוב, כשל אבטחה בתוכנת אמדיאוס חשף פרטים של רוכשי כרטיסי טיסה
עמי רוחקס דומבה
| 17/07/2019
פגיעות שתוקנה במערכת הזמנת הטיסות של אמדיאוס - בשימוש על ידי חברות תעופה ברחבי העולם - יכולה הייתה להיות מנוצלת על ידי נוכלים שיכולים לראות את כרטיסי העלייה למטוס של זרים. דייוויד סטובלי, מנכ"ל חברת הייעוץ הבריטית 7 Elements, סיפר כי הוא גילה את הפגם שהיה קיים ביישום ההרשמה של אמדיאוס. כך לפי פרסום של theregister .
באופן ספציפי, הסביר סטבלי, כאשר נוסע העלה לתצוגה את כרטיס העלייה למטוס, אמדאוס הציגה את הניירת בדף עם כתובת אתר הכוללת את מספר הזיהוי של הנוסע. מספר הזיהוי יכול להשתנות למספר אחר כדי לקבל כרטיסי עלייה למטוס אחרים מלקוחות אמדיאוס אחרים, כגון בריטיש איירווייס ואייר פראנס ללא אימות נוסף. פשוט לשנות את המספר בשורת הכתובת של דף האינטרנט ולהקיש Enter כדי לאחזר את הפרטים עבור מספר הזיהוי האחר.
סטבלי אמר כי הפגם יכול להיות מנוצל הן באתרי אינטרנט ואפליקציות של חברות תעופה המשתמשות בטכנולוגיה של אמדיאוס. בערך מחצית הספקים הגדולים בעולם. הבאג נחשף באופן פרטי לאמאדיאוס, ותוקן טרם גילויו לציבור.
תגובת אמדיאוס:
"לאמדיאוס נודע לאחרונה על פגם בתצורה המשפיע על פתרון ה- Self-Service של Altéa Check-in. צוותי האבטחה שלנו נקטו פעולה מיידית והפגיעות תוקנה כעת. אין אנו מודעים לכך שקיימת גישה בלתי מורשית נוספת הנובעת מהפגיעות, מעבר לפעולתו של חוקר הבטחון. אנו מצטערים על אי הנוחות שנגרמת ללקוחות שלנו ".
נזכיר כי גם בינואר האחרון התגלה כשל בתוכנת אמדיאוס שגם הוא חשף פרטים של מליוני אנשים שקנו כרטיסי טיסה. בספטמבר 2017 התגלה כשל, גם הוא בתוכנה של Amadeus Altéa, שגרם לכשל באספקת שירות ללקוחות. באותו אירוע אמרה אמדיאוס כי לא מדובר בהתקפת סייבר.
פגיעות שתוקנה במערכת הזמנת הטיסות של אמדיאוס - בשימוש על ידי חברות תעופה ברחבי העולם - יכולה הייתה להיות מנוצלת על ידי נוכלים שיכולים לראות את כרטיסי העלייה למטוס של זרים. דייוויד סטובלי, מנכ"ל חברת הייעוץ הבריטית 7 Elements, סיפר כי הוא גילה את הפגם שהיה קיים ביישום ההרשמה של אמדיאוס. כך לפי פרסום של theregister .
באופן ספציפי, הסביר סטבלי, כאשר נוסע העלה לתצוגה את כרטיס העלייה למטוס, אמדאוס הציגה את הניירת בדף עם כתובת אתר הכוללת את מספר הזיהוי של הנוסע. מספר הזיהוי יכול להשתנות למספר אחר כדי לקבל כרטיסי עלייה למטוס אחרים מלקוחות אמדיאוס אחרים, כגון בריטיש איירווייס ואייר פראנס ללא אימות נוסף. פשוט לשנות את המספר בשורת הכתובת של דף האינטרנט ולהקיש Enter כדי לאחזר את הפרטים עבור מספר הזיהוי האחר.
סטבלי אמר כי הפגם יכול להיות מנוצל הן באתרי אינטרנט ואפליקציות של חברות תעופה המשתמשות בטכנולוגיה של אמדיאוס. בערך מחצית הספקים הגדולים בעולם. הבאג נחשף באופן פרטי לאמאדיאוס, ותוקן טרם גילויו לציבור.
תגובת אמדיאוס:
"לאמדיאוס נודע לאחרונה על פגם בתצורה המשפיע על פתרון ה- Self-Service של Altéa Check-in. צוותי האבטחה שלנו נקטו פעולה מיידית והפגיעות תוקנה כעת. אין אנו מודעים לכך שקיימת גישה בלתי מורשית נוספת הנובעת מהפגיעות, מעבר לפעולתו של חוקר הבטחון. אנו מצטערים על אי הנוחות שנגרמת ללקוחות שלנו ".
נזכיר כי גם בינואר האחרון התגלה כשל בתוכנת אמדיאוס שגם הוא חשף פרטים של מליוני אנשים שקנו כרטיסי טיסה. בספטמבר 2017 התגלה כשל, גם הוא בתוכנה של Amadeus Altéa, שגרם לכשל באספקת שירות ללקוחות. באותו אירוע אמרה אמדיאוס כי לא מדובר בהתקפת סייבר.