MrQuậy
Well-Known Member
-
24/09/2013
-
178
-
2.221 bài viết
Bảng hiển thị thông tin khởi hành máy bay để lộ dữ liệu hành khách
Kẻ tấn công chỉ cần đoán tên họ và mã đặt chỗ của một hành khách là có thể truy cập được thông tin chi tiết về chuyến bay.
Candid Wueest – nhà nghiên cứu của Symantec – đã phát hiện ra rằng bảng hiển thị thông tin tại cổng khởi hành máy bay của sân bay đang đưa hành khách vào nguy hiểm vì để lộ mã giữ chỗ.
Theo một bài báo đăng trên trang cá nhân của Wueest vào ngày 10/1, ông đã theo một địa chỉ IP từ một bảng hiển thị thông tin tại cổng khởi hành để truy cập vào một trang đích. Trang này liệt kê các thông tin có chứa dữ liệu của các chuyến bay tiếp theo mà có thể được sử dụng để xâm nhập vào các tài khoản của hành khách.
Một kẻ tấn công chỉ cần đoán tên họ và mã đặt chỗ của một hành khách – hay còn gọi là hồ sơ tên hành khách (PNR) – là có thể truy cập được thông tin chi tiết về chuyến bay và các hành khách cùng đặt chỗ khác, bao gồm tên đầy đủ, địa chỉ thư điện tử, số điện thoại, số thẻ khách hàng thường xuyên, địa chỉ bưu điện. Đối với các chuyến bay liên lục địa còn biết thêm thông tin chi tiết hộ chiếu và ngày sinh.
Wueest cho rằng các thông tin này đều có thể tiếp cận công khai bởi các máy chủ cho phép truy cập công cộng (publicly accessible server).
Đến nay, hãng hàng không đã vá lỗi này.
Thảo Uyên (Theo scmagazine.com)
Candid Wueest – nhà nghiên cứu của Symantec – đã phát hiện ra rằng bảng hiển thị thông tin tại cổng khởi hành máy bay của sân bay đang đưa hành khách vào nguy hiểm vì để lộ mã giữ chỗ.
Theo một bài báo đăng trên trang cá nhân của Wueest vào ngày 10/1, ông đã theo một địa chỉ IP từ một bảng hiển thị thông tin tại cổng khởi hành để truy cập vào một trang đích. Trang này liệt kê các thông tin có chứa dữ liệu của các chuyến bay tiếp theo mà có thể được sử dụng để xâm nhập vào các tài khoản của hành khách.
Một kẻ tấn công chỉ cần đoán tên họ và mã đặt chỗ của một hành khách – hay còn gọi là hồ sơ tên hành khách (PNR) – là có thể truy cập được thông tin chi tiết về chuyến bay và các hành khách cùng đặt chỗ khác, bao gồm tên đầy đủ, địa chỉ thư điện tử, số điện thoại, số thẻ khách hàng thường xuyên, địa chỉ bưu điện. Đối với các chuyến bay liên lục địa còn biết thêm thông tin chi tiết hộ chiếu và ngày sinh.
Wueest cho rằng các thông tin này đều có thể tiếp cận công khai bởi các máy chủ cho phép truy cập công cộng (publicly accessible server).
Đến nay, hãng hàng không đã vá lỗi này.
Thảo Uyên (Theo scmagazine.com)