Tüm yolcularının seyahat kayıtlarını korsanlara karşı savunmasız bırakan bir havayolu, casusluk için çekici bir hedef oluşturacaktır. Daha az belirgin, ancak belki de bu casuslar için daha da yararlı olan, 10 farklı havayolunu kapsayan, veri hırsızları tarafından erişilebilir kendi ayrıntılı uçuş bilgilerini bırakan ve uluslararası diplomatlar tarafından tercih ediliyor gibi görünen birinci sınıf bir seyahat hizmetine erişim olacaktır.
Siber güvenlik araştırmacıları, havayolları ile ortaklık yapan ve Avrupa merkezli kullanıcılarının çantalarının toplanması, kontrol edilmesi ve varış noktalarına teslim edilmesi için ödeme yapmasına izin vermek için İngiltere merkezli bir bagaj hizmeti olan Airportr şeklinde buldu. CyberX9 firmasındaki araştırmacılar, AirPortr’in web sitesindeki basit hataların, seyahat planları da dahil olmak üzere neredeyse tüm kullanıcıların kişisel bilgilerine erişmelerine izin verdiğini ve hatta bir bilgisayar korsanının transitte bagajı yönlendirmesine veya çalmasına izin verecek yönetici ayrıcalıkları kazanmalarına izin verdiğini buldular. Araştırmacıların Wired ile gözden geçirdiği ve paylaştığı küçük kullanıcı verileri örneği arasında bile, İngiltere, İsviçre ve ABD’den birden fazla hükümet yetkilisinin ve diplomatların kişisel bilgi ve seyahat kayıtları gibi göründüğünü buldular.
Cyberx9’un kurucusu ve CEO’su Himanshu Pathak, “Herkes bu şirketin tüm operasyonlarına ve verilerine mutlak süper admin erişim kazanabilir veya kazanabilirdi” diyor. “Güvenlik açıkları, tüm rezervasyonlar ve bagajlar üzerinde tam kontrol de dahil olmak üzere, bu şirketin hizmetini kullanan tüm ülkelerdeki tüm havayolu müşterilerinin tam gizli özel bilgiye maruz kalmasıyla sonuçlandı. Çünkü en hassas sistemlerinin süper adminliyeniz bir şey yapma yeteneğine sahipsiniz.”
Airportr’in CEO’su Randel Darby, Cyberx9’un bulgularını Wired’e sağlanan yazılı bir açıklamada doğruladı, ancak Airportr’in, araştırmacıların şirketi geçen Nisan ayında sorunlardan haberdar etmesinden birkaç gün sonra güvenlik açıklarını düzelttiğini belirtti. Darby yaptığı açıklamada, “Verilere, AirPortr’in güvenliğinde iyileştirmeler önermek amacıyla yalnızca etik bilgisayar korsanları tarafından erişildi ve hızlı yanıt ve hafifletme daha fazla risk sağlamadı” diye yazdı. “Müşteri verilerini çok ciddiye almak için sorumluluklarımızı alıyoruz.”
Cyberx9’un araştırmacıları, buldukları güvenlik açıklarının sadeliğinin, diğer bilgisayar korsanlarının önce Airportr’in verilerine erişmediğinin garantisi olmadığı anlamına geliyor. Nispeten temel bir web güvenlik açığının, yalnızca kullanıcının e-posta adresine sahip olsaydı, herhangi bir kullanıcının şifresini hesaplarına erişmek için değiştirmelerine izin verdiğini ve ayrıca sitede oran sınırlaması olmayan Guess-Guess e-posta adreslerini de Brute-Force edebildiklerini buldular. Sonuç olarak, tüm müşterilerin adları, telefon numaraları, ev adresleri, ayrıntılı seyahat planları ve geçmişi, havayolu biletleri, biniş geçişleri ve uçuş detayları, pasaport görüntüleri ve imzalar dahil verilere erişebilirler.
Bir yönetici hesabına erişim kazanarak, Cyberx9’un araştırmacıları, bir bilgisayar korsanının, bagajı yönlendirmek, bagaj çalmak veya hatta bu sitelerdeki müşteri hesaplarına erişim elde etmek için AirPtrt’in verilerini kullanarak havayolu web sitelerindeki uçuşları iptal etmek için bulduğu güvenlik açıklarını da kullanabileceğini söylüyor. Araştırmacılar, e -posta ve kısa mesajlar göndermek için erişimlerini potansiyel bir kimlik avı riski olan airportr olarak da kullanabileceklerini söylüyorlar. Airportr, Wired’e 92.000 kullanıcıya sahip olduğunu ve web sitesinde müşteriler için 800.000’den fazla çanta işlediğini iddia ediyor.