Уязвимость на сайте United Airlines раскрывала данные путешественников

[душман]

Сайт одной из крупнейших в мире авиакомпаний United Airlines позволял кому угодно просмотреть информацию о билетах клиентов авиалинии, запросивших возврат средств.

Web-сайт United Airlines позволяет пользователям проверять статус возврата денег. Для этого пользователям нужно указать номер авиабилета и свою фамилию.

Однако, как обнаружил ИБ-эксперт Оливер Линоу, на сайте не была реализована проверка фамилии, что позволяло любому человеку изменить номер билета и получить доступ к данным других путешественников.

Как пояснил Линоу, он мог видеть информацию о фамилиях клиентов компании, о том, какая валюта использовалась для покупки билета и способ оплаты, а также сумму возврата средств.

Исследователь сообщил компании о проблеме в начале июля нынешнего года, но уязвимость была исправлена только месяц спустя. В настоящее время неясно, как долго она присутствовала на сайте и сообщила ли компания об инциденте регулятору в области защиты данных.