Тони Эбботту преподал урок информационной безопасности любопытный исследователь безопасности, который смог распознать номер его паспорта и другую конфиденциальную информацию после того, как бывший премьер-министр Австралии опубликовал фотографию своего посадочного талона в Instagram.
Организатор конференции по безопасности PurpleCon Алекс Хоуп был предупрежден своим другом в марте этого года о фотографиях посадочного талона Abbott Qantas на обратный рейс из Токио.
Хоуп знала, что размещение фотографий посадочных талонов представляет угрозу безопасности, но отметила, что многие люди об этом не знают.
«Тем временем какой-то хакер потирает руки, будучи всем» yumyum identity fraud «в своем темном веб-раздоре, потому что это происходит часто», — написала Хоуп в широко распространенном блоге в среду.
Только в Instagram под хэштегом #boardingpass можно найти более 122 000 фотографий.
Из посадочного талона Хоуп смогла найти справку о бронировании.
Зная фамилию Эбботта, он зашел на сайт Qantas, где мог получить более подробную информацию, такую как время полета бывшего премьер-министра и номер часто летающего пассажира.
При проверке исходного кода веб-страницы Хоуп обнаружила, что на сайте также указаны номер паспорта Эбботта и дата истечения срока его действия, дата рождения и номер телефона.
Комментарии сотрудников Qantas также содержались в информации о пассажирах на веб-сайте.
Понимая, что он наткнулся на потенциально серьезную утечку конфиденциальной информации, которая может быть использована для кражи личных данных, Хоуп сообщил об этом в Австралийский центр кибербезопасности.
Он также сообщил о проблеме Qantas, которая, в свою очередь, связалась со своим поставщиком тикающих систем Amadeus.
В разговоре с ITnews Хоуп сказал, что не сообщал об ошибке непосредственно Amadeus.
— Я даже не знала, что это имеет какое-то отношение к Амадею, пока Кантас не сказал мне, — сказала Хоуп.
Через пять месяцев Кантас сказал Хоуп, что проблема была устранена Амадеусом, но никаких подробностей о том, как это было сделано, исследователю безопасности предоставлено не было.
Однако Хоуп смог опубликовать подробный пост в блоге, охватывающий те шесть месяцев, которые потребовались ему, чтобы ответственно раскрыть уязвимость утечки информации.
Еще одна ошибка утечки информации Amadeus была обнаружена в прошлом году хакером Ноамом Ротемом, затронувшим 141 международную авиакомпанию по всему миру.
Ротем обнаружил, что с помощью захваченных и угаданных записей имен пассажиров можно менять рейсы, требовать мили для часто летающих пассажиров, назначать места и вносить изменения в данные о пассажирах.
Хоуп была обеспокоена тем, что, документируя и сообщая о проблеме безопасности, он может попасть в юридические неприятности.
Однако его усилия были одобрены всеми сторонами, включая Эбботта, который решил пройти ускоренный курс по информационной безопасности от Хоуп.
С Амадеем связались за комментариями.
