• Technische fout lekt gegevens van 141 internationale luchtvaartmaatschappijen

Technische fout lekt gegevens van 141 internationale luchtvaartmaatschappijen

Clock Geplaatst op woensdag 23 januari 2019

Een fout in het Amadeus online ticket booking systeem heeft de persoonsgegevens van passagiers blootgelegd, waardoor potentiële aanvallers deze informatie konden inzien en veranderen. Volgens Noam Rotem (security onderzoeker bij Safety Detective onderzoekslaboratoria) kon eenieder door de beveiligingsfout andermans reserveringen van boekingen manipuleren, indien de luchtvaartmaatschappij gebruik maakte van Amadeus systeem.

Amadeus is één van de grootste reserveringssystemen en wordt wereldwijd gebruikt door zo’n 141 luchtvaartmaatschappijen, waaronder British Airways, Air France, Icelandair, United Airlines, Lufthansa, Air Canada, en Qantas. Het bedrijf levert meerdere verwerkingsdiensten aan internationale reizigers en reisbureaus.

Rotem stelt dat hij het incident ontdekte na het ontvangen van een error code van het ticketing systeem terwijl hij probeerde te boeken bij EL AL (een Israëlische luchtvaartmaatschappij). Hij vertelt dat hij Passenger Name Records van klanten kon inzien, accountdetails kon veranderen, stoelen en maaltijden kon alloceren, en de e-mails en telefoonnummers van klanten kon updaten door de code te exploiteren.

“Na het uitvoeren van een klein en onschuldig script om te controleren op mogelijke brute-force beschermingen, waarvan er geen werden gevonden, konden we PNRs van willekeurige klanten vinden waarin alle persoonlijke informatie van klanten is omvat. We namen direct contact op met EL AL om deze fout door te geven en verzochten hen om het lek te dichten voordat het door iemand met de verkeerde intenties werd ontdekt,” zegt Safety Detective in een post.

Amadeus herstelde de kwetsbaarheid nadat Safety Detective het datalek aan hen had doorgegeven. Amadeus stelt, “Bij Amadeus geven wij security de hoogste prioriteit en updaten en monitoren wij onze systemen continu. Onze technische teams hebben onmiddellijk actie ondernomen en wij kunnen nu bevestigen dat het incident is opgelost. Om onze beveiliging te versterken hebben wij een Recovery PTR toegevoegd, om te voorkomen dat een kwaadaardige gebruiker de persoonsgegevens van reizigers kan inzien. We betreuren enig ongemak dat het incident heeft veroorzaakt.”

Bij een vergelijkbaar incident rapporteerde Singapore Airlines (SIA) recentelijk dat een software glitch mogelijk persoonlijke informatie van 285 van haar gebruikers had blootgelegd. De luchtvaartmaatschappij stelde dat een fout in haar website een datalek veroorzaakte van KrisFlyer, een regular flyer programma van SIA. De fout legde persoonsgegevens van klanten van KrisFlyer bloot, waaronder de volledige naam van de gebruiker, emailadres, lidmaatschapsniveau, accountnummer, totaal aantal miles/rewards, reisgeschiedenis, paspoort, en vluchtinformatie.

Bron: https://www.cisomag.com/technical-glitch-leaks-data-of-141-international-airlines-fliers/

Arrow leftTerug naar overzicht
Cross icon