Przez lukę w systemie e-biletów brytyjskich linii lotniczych dane klientów mogły być dostępne dla niepowołanych osób. Xopero Software, producent rozwiązań do backupu danych, w obliczu coraz liczniejszych wpadek przewoźników, upomina o skuteczniejszą ochronę danych pasażerów.
Okazuje się, że maile o odprawie online wysyłane przez British Airways do pasażerów zawierają nieszyfrowane linki. Kierują one do automatycznego logowania do konta, w którym znajdują się szczegóły lotu i informacje personalne.
Przez brak szyfrowania adres ten jest bardzo łatwy do przechwycenia. Korzystając z tej samej sieci Wi-Fi – na przykład tej darmowej, dostępnej na lotnisku – możliwe jest przejęcie owego linku. A dzięki automatycznemu logowaniu, można swobodnie przeglądać wszelkie dane, które podała potencjalna ofiara.
Wśród informacji “do wglądu” znalazły się adresy e-mail, numery telefonu, imiona i nazwiska, dane konta w serwisie British Airways oraz szczegółu lotu, takie jak numer rezerwacji czy miejsca.
Problem odkryli badacze z firmy Wandera. Natychmiast powiadomili brytyjskiego przewoźnika. Prace nad usunięciem błędu nie powinny potrwać długo, jako że British Airways jest w ciągłym kontakcie ze specjalistami. Jak twierdzi przedstawiciel koncernu, nawet po zalogowaniu do konta nie ma możliwości dostępu do żadnych danych paszportowych czy informacji o płatności z wykorzystaniem tego sposobu.
Szacuje się, że przez ostatnie sześć miesięcy ok. 2,5 miliona użytkowników skorzystało z wrażliwych linków. Nie ma jednak dowodów na jakiekolwiek wykorzystanie błędu do nielegalnych celów.
– Chociaż nie znaleziono żadnych dowodów, nie można bagatelizować takich spraw. – mówi Bartosz Jurga, dyrektor sprzedaży Xopero Software – Taka marka jak British Airways powinna nie tylko korzystać z szyfrowanych linków, ale również wdrożyć mechanizmy dwupoziomowego uwierzytelniania podczas logowania do kont i odprawy online. Zwłaszcza, że to nie pierwsza tego typu wpadka przewoźnika.
British Airways ma na swoim koncie już kilka przypadków luk w systemach bezpieczeństwa. W październiku 2018 roku przewoźnik poinformował o wycieku danych niemal 400 tysięcy transakcji płatniczych. Później liczba ta zwiększyła się do ponad 0,5 miliona. W lipcu tego roku koncern został ukarany grzywną opiewającą na 230 milionów dolarów.
W lutym wykryto podobne błędy na stronach ośmiu innych przewoźników – Air France, Vueling, Southwest, KLM, Jetstar, Air Europa, Thomas Cook oraz Transavia.
