Uçuş Rezervasyon Sistemindeki Bir Açık 141 Havayolunu Etkiledi
İsrail Ağ Güvenliği Araştırmacısı Noam Rotem yaptığı bir uçak bileti alma işlemi sırasında güvenlik açığı keşfetmesi üzerine hemen yetkililere bildirdi.
Güvenlik açığı, 141 uluslararası havayolu şirketi tarafından kullanılan Amadeus şirketi tarafından geliştirilen çevrimiçi uçuş rezervasyon sisteminde ortaya çıktı.
Uçuş Rezervasyon Sistemi ile yapılan bir bilet alma işleminden sonra mail adresine PNR kodu ve uçuş durumlarını kontrol edebilecekleri bir link gönderilir. Bu güvenlik zafiyetini Bulan Noam, linkte bulunan bir parametreyi başka birisinin PNR numarası ile değiştirerek bir başkasına ait tüm uçuş bilgilerini görebileceğini buldu. Bu zafiyeti kullananlar, basit bir şekilde, eriştikleri bir kişinin hesabındaki uçuş millerini kendi kişisel hesabına transfer edebilir, koltuk numarasına önceden sipariş verebilir, müşteri email adresini ve uçuş iptali ve değişikliği için kullanılan telefon numarasını değiştirebilirler.
Ek olarak Rotem’in yaptığı araştırmaya göre uçuşların PNR numarası bilinmese bile Brute Force yöntemi ile yine sistemde bulunan bir açık dolayısıyla neredeyse tüm uçuşların PNR kodlarının bulunabileceği keşfedildi
Amadeus bu zafiyetten haberi olması üzerine hemen açığın kapatılması için çalışmalara başladı ve kısa süre sonra açığın kapatıldığını duyurdu. Ek olarak sistem için güvenlik önlemlerinin arttırıldığını ekledi.