Amadeus aviakompaniyasining bron qilish tizimidagi zaiflik yo’lovchilarni xavf ostiga qo’yadi
Ushbu zaiflik tajovuzkorlarga parvoz tafsilotlarini tahrirlash va hatto rezervasyonlarni bekor qilish imkonini beradi.
Mashhur Amadeus aviakompaniyalarini bron qilish tizimidagi zaiflik tajovuzkorlarga foydalanuvchi ma’lumotlarini tahrirlash imkonini beradi. Muammoni hal qilish uchun ishlab chiquvchi tomonidan chiqarilgan xavfsizlik yangilanishi samarasiz bo’lib chiqdi. Dunyo aeroportlarining yarmi tomonidan ishlatiladigan Amadeus onlayn aviakompaniyalarini bron qilish tizimidagi zaiflik Safety Detective tadqiqotchilari tomonidan aniqlandi. Tadqiqotchilar o’zlarining kashfiyotlari haqida ishlab chiquvchiga shaxsiy ravishda xabar berishdi, ammo keyingi yamoq shunchaki «katakchani belgilash» yamoqi edi va muammoni hal qilmaydi.
Bu zaiflik Amadeus va aviakompaniyalarning yo’lovchilarni qanday aniqlashi bilan bog’liq. Har bir yo’lovchiga harflar va raqamlardan iborat noyob olti xonali bron qilish ma’lumotnomasi beriladi. Bu ma’lumotnoma o’z navbatida barcha shaxsiy ma’lumotlar va parvoz ma’lumotlarini o’z ichiga olgan yo’lovchi ismlari yozuviga (PNR) bog’langan. PNRlardan huquqni muhofaza qilish va xavfsizlik idoralari tomonidan jinoyatchilarni qidirishda sayohatchilarni aniqlash uchun foydalanish mumkin.
Xavfsizlik bo’yicha tadqiqotchi Noam Rotem ba’zi aviakompaniyalar tomonidan ishlatiladigan Amadeus skripti URL manzilida bron raqamini olishini va agar u to’g’ri bo’lsa, yo’lovchining ismi yozilgan sahifani qaytarishini aniqladi.
Amaldagi bron ma’lumotnomasi va tegishli yo’lovchining ismi bilan qurollangan tajovuzkor o’sha yo’lovchini taqlid qilishi va PNRni tahrirlash uchun aviakompaniyaning onlayn portaliga kirishi mumkin. Xususan, tajovuzkor o’rindiqni o’zgartirishi, bonus millarini boshqa hisobga o’tkazishi, aloqa ma’lumotlarini ko’rishi va tahrirlashi va hatto bronni bekor qilishi mumkin.
Botlardan foydalangan holda qo’pol kuch hujumlaridan yetarli darajada himoyalanmaganligi sababli, tajovuzkorlar nomli sahifa paydo bo’lmaguncha turli xil bronlash kodlarini yuborish orqali zaif sahifaga qayta-qayta hujum qilishlari mumkin. Yuqorida ta’kidlanganidek, tajovuzkorlar bronlash kodi va yo’lovchining ismi bilan ularning PNR-ga kirishlari mumkin.
Amadeus ishlab chiqaruvchisi zaiflik uchun yamoq chiqargan bo’lsa-da, tadqiqotchilarning ta’kidlashicha, u muammoni qisman hal qiladi va yo’lovchilar hali ham xavf ostida.
