Több, mint 140 nemzetközi járatot érinthetett az Amadeus online fogadási rendszer biztonsági hibája

A Safety Detective egy biztonsági kutatója komoly hibát fedezett fel az Amadeus online repülőjegy foglalási rendszerben, amelynek következtében illetéktelen személyek képesek lehettek hozzáférni az utasok adataihoz, valamint módosítani is azokat. A rendszer igen népszerű, mintegy 140 nemzetközi légitársaság használja, ezzel a piacon jelentős (44%) részesedést tudhat magáénak ─ olyan ügyfelekkel, mint például a United Airlines, Lufthansa, vagy az Air Canada ─ így a problémában több millió utas vált potenciálisan érintetté. A kutató akkor fedezte fel a hibát, amikor egy izraeli társaság (EL AL) járatára szeretett volna foglalni. Egy paraméter átírásával képes volt megtekinteni az utas-nyilvántartási adatállományokat (Passenger Name Record – PNR), amelyek birtokában az EL AL ügyfélportálján lehetősége nyílt megváltoztatni az utasok kontakt adatait, ezt kihasználva pedig többek közt törölhette volna a foglalásokat. További probléma, hogy a PNR kódokat nem titkosítva, hanem szabad szöveges állományként küldte az EL AL rendszere, ami kitettséget jelent a közbeékelődéses (Man-in-the-Middle) támadásokkal szemben. Az Amadeus közleménye szerint a hibát elhárították.