Compania aeriană știe de luni de zile, dar nu a fost luată nicio măsură
Un cartof fierbinte: Un cercetător în securitate a descoperit vulnerabilități grave în sistemul de rezervare al companiei Frontier Airlines. Folosind doar două informații tipărite pe fiecare carte de îmbarcare – un cod de rezervare și un nume de familie – oricine poate extrage numere complete de pașaport, adrese de domiciliu, coduri TSA PreCheck și detalii aproape complete ale cardului de credit din API-ul companiei aeriene. Vulnerabilitățile sunt cunoscute de peste trei luni.
Actualizare (19 iunie): După publicare, Frontier Airlines a transmis Noobz.ro o declarație în care spunea că este „conștientă de potențialele vulnerabilități IT” și că problemele au fost „rezolvate și rezolvate”. Compania aeriană a adăugat că securitatea sistemelor sale este o prioritate de top și că ia foarte în serios astfel de chestiuni. Frontier nu a oferit detalii suplimentare despre momentul în care vulnerabilitățile au fost remediate sau dacă orice date despre clienți au fost accesate de părți neautorizate.
Dacă ați zburat vreodată cu Frontier Airlines și cartea de îmbarcare a ajuns într-o fotografie, un coș de gunoi sau o postare pe rețelele sociale, datele dvs. personale pot fi accesibile oricui chiar acum.
Un cercetător de securitate de la BobDaHacker a publicat o dezvăluire detaliată săptămâna aceasta, care dezvăluie că API-ul mobil și paginile de gestionare a rezervărilor de la Frontier expun înregistrările personale complete ale fiecărui pasager dintr-o rezervare oricărei persoane înarmate cu un cod de rezervare și un nume de familie.
Ambele sunt tipărite pe fiecare carte de îmbarcare și ambele sunt codificate în codul de bare. Cercetătorul a raportat pentru prima dată problemele către Frontier pe 3 martie. Acum este 18 iunie, 105 zile mai târziu, iar vulnerabilitățile critice rămân active.
Atacul este simplu. Punctul final API mobil al Frontier acceptă un PNR (Passenger Name Record) cu șase caractere și un nume de familie și returnează un obiect intern complet de rezervare care include, pentru fiecare pasager din rezervare:
- Adresa completă de domiciliu (stradă, oraș, stat, poștal)
- Adresă de e-mail și număr de telefon
- Data completă a nașterii, inclusiv pentru minori
- Număr de pașaport complet, nemascat, țara emitentă și data de expirare
- Număr de călători cunoscut (identificatorul TSA PreCheck)
- Număr de fidelitate Frontier Miles
- BIN card de credit (primele 6 cifre), ultimele 4 cifre, data expirării, numele titularului cardului și adresa completă de facturare
- Istoricul plăților cu coduri de autorizare
- Matematica cardului de credit
Expunerea la plată este mai gravă decât pare. BobDaHacker explică că BIN (primele șase cifre ale unui număr de card) combinat cu ultimele patru cifre deja vizibile lasă doar cinci cifre necunoscute. A 16-a cifră este o cifră de verificare deterministă Luhn, calculabilă din celelalte 15. Aceasta înseamnă aproximativ 100.000 de combinații posibile pentru cifrele din mijloc rămase – trivial iterabile într-un script.
Cu numele deținătorului cardului, data de expirare și adresa completă de facturare (care satisface verificarea AVS pentru tranzacțiile cu cardul neprezent) de asemenea expuse, CVV devine singurul control de securitate rămas.
Dincolo de API-ul mobil, BobDaHacker a descoperit că site-ul Frontier scurge date prin propriile pagini „Gestionează rezervarea mea”. Pagina Pasageri/Editare, accesibilă cu același PNR și același nume de familie, afișează numerele de pașaport complete, datele de naștere și KTN-uri și, de asemenea, le încorporează într-un blob JSON redat de server în sursa paginii.
Când Frontier a încercat să remedieze o scurgere anterioară de e-mail pe pagina Gestionează rezervarea mea, a introdus două noi scurgeri – dintre care una a expus și numerele de telefon.
A existat și o a patra vulnerabilitate: un punct final care a returnat date de rezervare numai de la un PNR, fără a fi necesar un nume de familie. Frontierul a remediat. Compania i-a trimis cercetătorului și un model de avion. Restul rămâne nepattched.
Un fost angajat Frontier care a contactat după ce postarea lui BobDaHacker a fost difuzată a oferit un context pentru motivul pentru care baza de cod ar putea fi în această stare. „IBE era deja considerată o bază de cod moștenită”, a scris el, referindu-se la sistemul de rezervare vizibil în capturile de ecran ale cercetătorului. „Vorbeam despre apusul și înlocuirea lui cu o soluție mai curată, mai modernă. IBE a fost o mizerie de configurații și coduri generate pe care o singură persoană era suficient de în vârstă să-l atingă. Toți ceilalți au dansat practic în jurul lui.” Angajatul a adăugat că incidentul de securitate nu a fost o surpriză, având în vedere cultura la locul de muncă pe care o experimentaseră.
BobDaHacker a urmat dezvăluirea responsabilă standard pe tot parcursul, cu un raport inițial pe 3 martie, mai multe urmăriri și un termen oficial de 30 de zile stabilit pentru 12 iunie, pe care Frontier l-a lăsat să treacă fără răspuns. În momentul scrierii, Frontier nu a emis o declarație publică.
