Исследователи из компании CyberX9 обнаружили серьёзные уязвимости на сайте Airportr — британского сервиса премиум-доставки багажа «от двери до двери». Эти ошибки открывали доступ почти ко всей личной информации пользователей, включая планы поездок, а также к правам администратора. А это, в свою очередь, дало бы хакерам возможность похищать и перенаправлять багаж в процессе перевозки, сообщает Wired.
Airportr сотрудничает с такими авиакомпаниями, как American Airlines, British Airways, Lufthansa и Virgin Atlantic, сервис предоставляется в основном для пассажиров из Великобритании и Европы. Клиенты сервиса могут оставить багаж в аэропорту для доставки до конечного пункта, процесс можно контролировать через сайт и мобильное приложение.
По данным исследователей CyberX9, ошибки на сайте помогли им получить доступ к огромному объему данных — именам клиентов, номерам телефонов, домашним адресам, деталям поездок, билетам, посадочным талонам, фотографиям паспортов и подписей. Они также смогли получить права администратора сайта.
«Уязвимости дали абсолютный доступ к системам Airportr. Суперадминистратор мог делать что угодно», — рассказал Wired основатель CyberX9 Химаншу Патхак. По его словам, в базе данных компании исследователи нашли личные сведения в том числе нескольких государственных чиновников и дипломатов из Великобритании, Швейцарии и США. Химаншу Патхак предупреждает, что, учитывая простоту обнаруженных уязвимостей, нельзя исключать, что злоумышленники могли получить к ним доступ до CyberX9.
Генеральный директор Airportr Рэндел Дарби подтвердил наличие уязвимостей и рассказал, что часть сайта с проблемным бэкендом была отключена вскоре после получения отчёта об ошибках, а проблемы исправили в течение нескольких дней.
Airportr заявляет, что данные авиакомпаний-партнёров с их защищёнными API недоступны для изменения. Однако представители CyberX9 обращают внимание на то, что административный доступ к системам Airportr уже сам по себе представляет огромную уязвимость.
Как отмечает основатель CyberX9, авиакомпании тоже должны нести ответственность за безопасность личной информации своих клиентов, особенно когда рекомендуют сервисы вроде Airportr.
«Настоящая угроза исходит от второстепенных сервисов, которые мы считаем безопасными, доверяя рекомендациям авиакомпаний», — отметил он.
Источник: habr.com