На сайте сервиса доставки багажа Airportr нашли серьёзные уязвимости, которые позволяли красть и перенаправлять багаж
Исследователи из компании CyberX9 обнаружили серьёзные уязвимости на сайте Airportr — британского сервиса премиум-доставки багажа «от двери до двери». Эти ошибки открывали доступ почти ко всей личной информации пользователей, включая планы поездок, а также к правам администратора. А это, в свою очередь, дало бы хакерам возможность похищать и перенаправлять багаж в процессе перевозки, сообщает Wired.
Airportr сотрудничает с такими авиакомпаниями, как American Airlines, British Airways, Lufthansa и Virgin Atlantic, сервис предоставляется в основном для пассажиров из Великобритании и Европы. Клиенты сервиса могут оставить багаж в аэропорту для доставки до конечного пункта, процесс можно контролировать через сайт и мобильное приложение.
По данным исследователей CyberX9, ошибки на сайте помогли им получить доступ к огромному объему данных — именам клиентов, номерам телефонов, домашним адресам, деталям поездок, билетам, посадочным талонам, фотографиям паспортов и подписей. Они также смогли получить права администратора сайта.
«Уязвимости дали абсолютный доступ к системам Airportr. Суперадминистратор мог делать что угодно», — рассказал Wired основатель CyberX9 Химаншу Патхак. По его словам, в базе данных компании исследователи нашли личные сведения в том числе нескольких государственных чиновников и дипломатов из Великобритании, Швейцарии и США. Химаншу Патхак предупреждает, что, учитывая простоту обнаруженных уязвимостей, нельзя исключать, что злоумышленники могли получить к ним доступ до CyberX9.
Генеральный директор Airportr Рэндел Дарби подтвердил наличие уязвимостей и рассказал, что часть сайта с проблемным бэкендом была отключена вскоре после получения отчёта об ошибках, а проблемы исправили в течение нескольких дней.
Airportr
Читать на habr.com
