نقص امنیتی بلیطهای الکترونیکی بریتیش ایرویز اطلاعات شخصی مسافران را فاش کرد
آسیبپذیری در سیستم بلیطهای الکترونیکی هواپیمایی بریتیش ایرویز میتواند به مهاجم این امکان را بدهد که اطلاعات شخصی مسافران را مشاهده کرده و یا اطلاعات مربوط به رزرو آنها را تغییر بدهد.
اشکال امنیتی کشف شده در سیستم بلیط هواپیمایی بریتیش ایرویز (British Airways) امکان افشای اطلاعات مسافران، از جمله جزئیات رزرو پرواز و اطلاعات شخصی آنها را فاش میکند.
محققان روز سه شنبه گفتند که لینکهای چک-این (گزارش ثبت حضور و ثبت نام به صورت اینترنتی) که بریتیش ایرویز از طریق ایمیل برای مسافرانش ارسال میکند، رمزگذاری نشدهاند، همین مشکل مسافران را در معرض حمله قرار داده و میتواند شمارههای رزرو، شماره تلفنها، آدرسهای ایمیل و موارد دیگر را در معرض دید سایرین قرار دهد. طبق تخمین پژوهشگران، طی شش ماه گذشته، 2.5 میلیون اتصال به حوزههای تحت تأثیر شرکت بریتیش ایرویز انجام شده است، بنابراین تاثیر بالقوه این نقص امنیتی قابل توجه خواهد بود.
در تلاش برای ساده سازی تجربه کاربر، جزئیات اطلاعات مسافران در پارامترهای URL گنجانده شده است که مسافر را از طریق ایمیل به وبسایت بریتیش ایرویز هدایت میکند. مسافران در آنجا به طور خودکار وارد سیستم میشوند تا بتوانند برنامه سفر خود را مشاهده کرده و پرواز خود را بررسی کنند. جزئیات اطلاعات مسافران در پارامترهای URL شامل مرجع رزرو و نام خانوادگی است، که هر دو در معرض خطر هستند، زیرا لینک مربوط به این اطلاعات رمزگذاری نشده است.
این بدان معناست که هکر به راحتی قادر خواهد بود از طریق شبکه وای فای عمومی، لینک چک-این مسافران را رهگیری کرده و به اطلاعات درون آن دسترسی پیدا کند. این در حالی است که سیستم وای فای ارایه شده توسط برخی از فرودگاهها از لحاظ امنیتی نامطمئن هستند.
علاوه بر نقص امنیتی اخیر، بریتیش ایرویز طی یک سال گذشته بارها از لحاظ تامین امنیت فضای سایبری با مشکل مواجه بوده است.