Уразливість на сайті МАУ видавала дані про пасажирів за кодом броні, зараз вона вже закрита

27 Февраля, 2018, 13:00

1811

На "Хабрахабр" вчора з'явилася стаття про уразливість на сайті Міжнародних Авіаліній України (МАУ). І хоча сама уразливість вже закрита, механізм її роботи - досить примітний. Користувач під ніком dinikin описав, як за допомогою коду бронювання (PNR, passenger name record) можна було отримати дані будь-якого пасажира рейсу.

За словами автора статті, потрапивши на сайт авіакомпанії, він відкрив інструменти розробника в Google Chrome, щоб зрозуміти, чому сайт довго завантажується. "Вивчивши запити до сервера, я побачив, що дані про доступних місцях сервером повертаються. Випробувавши кілька різних браузерів, я так і не вирішив проблему, однак зауважив, що запит, який повертає список доступних місць, виконувався у всіх браузерах успішно, не дивлячись на те, що сесійні куки були доступні тільки в Google Chrome ", - пише він. Запит до сервера виглядав так:

https://bookapi.flyuia.com/ancillary/seatmap?pnr=XXXXXX&currency=USD&flyuiacountrycode=uk&flyuialanguagecode=ru&locale=RU

XXXXXX - це і є код бронювання або ж PNR. Відповідь сервера у всіх браузерах містив дані про пасажира, якому належить PNR - ім'я, клас, номер рейсу, час відльоту, місце прибуття і так далі:

Тобто, знаючи тільки код бронювання, можна було отримати практично всі дані про пасажира. Автор статті пише, що продовжуючи оформляти квиток, вибрав пункт замовлення місця для багажу. У цьому випадку запит мав вигляд https://bookapi.flyuia.com/ancillary/luggage?pnr=XXXXXX&currency=USD&locale=RU, а відповідь сервера містив ще й дату народження пасажира. Переходячи на сторінку оплати, автор зауважив ту ж закономірність. На запит https://bookapi.flyuia.com/payportal/transaction/123456?flyuiacountrycode=ua&flyuialanguagecode=ru&locale=RU сервер компанії віддавав дані про платіж.

За словами автора статті, на усунення вразливості у компанії пішов приблизно місяць, і на момент виходу статті нею скористатися було вже не можна.

Редакція очікує офіційного коментаря про уразливість від компанії МАУ.

Нагадаємо, раніше з'явилися дані про те, що в інтернеті продається база нібито 500 000 клієнтів компанії "Нова пошта".

Помітили помилку? Виділіть її та натисніть Ctrl + Enter, щоб повідомити нам.

Com/ancillary/seatmap?
Com/ancillary/luggage?
Com/payportal/transaction/123456?
Помітили помилку?