Aplicativo de passageiro frequente da United Airlines pode ser hackeado para revelar informações de passageiros

Imagem: Christian Junker/Flickr

Voar nunca foi tão conveniente para os clientes. As verificações de segurança podem ser um empecilho, mas às vezes tudo o que é preciso para fazer o check-in online é digitar alguns dígitos em um aplicativo móvel.

Mas isso pode ser um pouco também conveniente. Uma empresa de segurança cibernética descobriu que é possível obter informações pessoais e de voo dos clientes United Airlines MileagePlus por meio do aplicativo da empresa.



'Um invasor pode ter acesso a dados pessoais, como e-mail, número de telefone, detalhes do voo (origem, destino, data, hora, assento) e até o cartão de embarque', disse Yosi Dahan, cofundador e CEO da Turrisio Cibersegurança , disse à Motherboard por e-mail.



Ao fazer login no aplicativo da United Airlines para fazer check-in, o cliente pode inserir seu código de confirmação de reserva ou ID MileagePlus e não precisa fornecer nenhuma outra informação, como uma senha. MileagePlus é o serviço da United Airlines Programa de passageiro frequente . Se o voo do usuário for dentro de 24 horas, suas informações serão exibidas no aplicativo.

Os IDs MileagePlus são muito básicos: eles vêm no formato de duas letras, seguidas de seis dígitos. Então, em vez de ter que descobrir o ID de um cliente específico, Dahan escreveu um script simples de prova de conceito em Python que poderia permitir que um invasor analisasse as possíveis combinações de IDs e verificasse automaticamente se algum voo foi reservado com eles.



Não há indicação de que o aplicativo tenha realmente sido abusado por criminosos. Mas Dahan, que tem escrito anteriormente sobre a segurança do aplicativo MileagePlus, imaginou que seria possível lançar um ataque de engenharia social com informações coletadas dessa maneira. Ele sugeriu, por exemplo, que um invasor poderia ligar para uma vítima e apresentar a ela informações que apenas a United Airlines deveria saber e, em seguida, enganá-la para entregar os detalhes do cartão de crédito.

'Este é o mesmo tipo de vulnerabilidade que nós [Andrew Auernheimer] foi encarcerado durante e ainda como um testador de penetração, tenho visto muito esse tipo de vulnerabilidade', Justin Seitz, autor de dois Python hackear livros, disse em um e-mail. “Várias APIs móveis que nunca foram projetadas para ver a luz do dia podem ser extraídas para obter informações usando scripts Python de 10 linhas, como você vê nessa prova de conceito”.

A United Airlines minimizou a importância da descoberta, que Dahan relatou por meio do programa de recompensas de bugs da empresa há menos de 24 horas. 'O que Dahan chama incorretamente de bug é, na verdade, o comportamento pretendido de nosso aplicativo móvel, que projetamos para tornar o processo de check-in de voo o mais simples possível para acomodar o maior número de clientes', disse um porta-voz ao Motherboard em um comunicado. o email. 'Enquanto avaliamos e aprimoramos continuamente nossos procedimentos de segurança, temos programas extensivos para proteger nossos clientes e suas informações pessoais'.



Artigos Interessantes