Летење никада није било погодније за купце. Сигурносне провере могу бити напорне, али понекад је све што је потребно за онлајн пријаву укуцати неколико цифара у мобилну апликацију.
Али то може бити само мало такође згодно. Компанија за сајбер безбедност је открила да је могуће добити личне информације и податке о лету клијената Унитед Аирлинес МилеагеПлус путем апликације компаније.
„Нападач може да добије приступ личним подацима као што су е-пошта, број телефона, детаљи о лету (порекло, одредиште, датум, време, седиште) па чак и пропусница за укрцавање“, рекао је Иоси Дахан, суоснивач и извршни директор Туррисио Циберсецурити , речено је матичној плочи у е-поруци.
Када се пријављује у апликацију Унитед Аирлинес да би се пријавио, клијент може или да унесе свој код за потврду резервације или МилеагеПлус ИД и не мора да даје никакве друге информације, као што је лозинка. МилеагеПлус је Унитед Аирлинес програм честих летача . Ако је корисников лет у року од 24 сата, његове информације ће бити приказане у апликацији.
МилеагеПлус ИД-ови су веома основни: долазе у формату од два слова, након којих следи шест цифара. Дакле, уместо да мора да сазна ИД одређеног клијента, Дахан је написао једноставну Питхон скрипту за доказ концепта која би могла да омогући нападачу да прође кроз могуће комбинације ИД-ова и аутоматски провери да ли су неки летови резервисани са њима.
Нема назнака да су апликацију заправо злоупотребили криминалци. Али Дахан, који има раније писано о безбедност апликације МилеагеПлус, предвиђала је да би било могуће покренути напад социјалног инжењеринга са информацијама прикупљеним на овај начин. Предложио је, на пример, да би нападач могао да позове жртву и да јој пружи информације које би само Јунајтед ерлајнс требало да зна, а затим их превари да им преда податке о кредитној картици.
„Ово је иста врста рањивости као и [Ендру Ауернхајмер] био затворен преко а ипак сам као тестер пенетрације често виђао ову врсту рањивости“, Џастин Сајц, аутор два Пајтона хаковање књига, речено је у мејлу. „Бројни мобилни АПИ-ји који никада нису били дизајнирани да угледају светлост дана могу се извући за информације помоћу 10 линија Питхон скрипти као што видите у том доказу концепта.“
Јунајтед ерлајнс је умањио значај открића, које је Дахан пријавио кроз програм компаније за награђивање грешака пре мање од 24 сата. „Оно што господин Дахан погрешно назива грешком је заправо намеравано понашање наше мобилне апликације, коју смо осмислили да учинимо процес пријаве на лет што је могуће једноставнијим како бисмо могли да прихватимо највећи број клијената“, рекао је портпарол за Мотхербоард у емаил. „Иако континуирано процењујемо и унапређујемо наше безбедносне процедуре, имамо обимне програме за заштиту наших клијената и њихових личних података.“