A légitársaság hónapok óta tudja, de nem tettek semmit
Egy forró krumpli: Egy biztonsági kutató súlyos sebezhetőséget fedezett fel a Frontier Airlines foglalási rendszerében. Csupán két, minden beszállókártyára nyomtatott információ – egy foglalási kód és egy vezetéknév – felhasználásával bárki lekérheti a teljes útlevélszámot, a lakcímet, a TSA PreCheck kódokat és a majdnem teljes hitelkártyaadatokat a légitársaság API-jából. A sebezhetőségek már több mint három hónapja ismertek.
Frissítés (június 19.): A nyilvánosságra hozatal után a Frontier Airlines nyilatkozatot adott a TechSpotnak, amely szerint „tudatában van a lehetséges IT-sebezhetőségeknek”, és hogy a problémákat „megoldották és kezelték”. A légitársaság hozzátette, hogy rendszereinek biztonsága kiemelten fontos, és nagyon komolyan veszi az ilyen ügyeket. A Frontier nem közölt további részleteket arról, hogy mikor javították ki a sérülékenységet, vagy hogy az ügyféladatokhoz fértek-e hozzá illetéktelen felek.
Ha valaha is repült a Frontier Airlines légitársasággal, és a beszállókártyája egy fényképen, egy szemetesben vagy egy közösségi médiában megjelent bejegyzésben szerepelt, akkor személyes adatai jelenleg bárki számára hozzáférhetőek lehetnek.
A BobDaHacker egyik biztonsági kutatója a héten közzétett egy részletes közleményt, amelyből kiderül, hogy a Frontier mobil API-ja és foglaláskezelő oldalai minden foglalásban részt vevő utas teljes személyes adatait felfedik mindenki számára, aki rendelkezik foglalási kóddal és vezetéknévvel.
Mindkettő minden beszállókártyára van nyomtatva, és mindkettő kódolva van a vonalkódban. A kutató először március 3-án jelentette a problémákat a Frontiernek. Most június 18-a van, 105 nappal később, és a kritikus sebezhetőségek továbbra is élnek.
A támadás egyértelmű. A Frontier mobil API-végpontja elfogad egy hat karakterből álló PNR-t (Passenger Name Record) és egy vezetéknevet, és egy teljes belső foglalási objektumot ad vissza, amely a foglalásban szereplő minden utasra vonatkozóan tartalmazza:
- Teljes lakcím (utca, város, állam, irányítószám)
- E-mail cím és telefonszám
- Teljes születési dátum, beleértve a kiskorúakat is
- Teljes, maszkolatlan útlevélszám, kiállító ország és lejárati dátum
- Ismert utazószám (TSA PreCheck azonosító)
- Frontier Miles hűségszám
- Hitelkártya BIN (első 6 számjegy), utolsó 4 számjegy, lejárati dátum, kártyatulajdonos neve és teljes számlázási cím
- Fizetési előzmények engedélyezési kódokkal
- A hitelkártya matematika
A fizetési kockázat komolyabb, mint amilyennek hangzik. BobDaHacker elmagyarázza, hogy a BIN (a kártyaszám első hat számjegye) a már látható utolsó négy számjegygel kombinálva csak öt számjegyet hagy ismeretlenül. A 16. számjegy egy determinisztikus Luhn-ellenőrző számjegy, amely a másik 15-ből számítható ki. Ez körülbelül 100 000 lehetséges kombinációt jelent a fennmaradó középső számjegyekhez – triviálisan iterálható egy szkriptben.
Mivel a kártyabirtokos neve, lejárati dátuma és teljes számlázási címe (amely kielégíti az AVS-ellenőrzést a kártya nélküli tranzakciók esetén) is megjelenik, a CVV lesz az egyetlen fennmaradó biztonsági ellenőrzés.
A mobil API-n túl BobDaHacker azt találta, hogy a Frontier webhelye adatokat szivárogtat ki a saját „Foglalásom kezelése” oldalain keresztül. Az Utasok/Szerkesztés oldal, amely ugyanazzal a PNR-vel és vezetéknévvel érhető el, teljes útlevélszámot, születési dátumot és KTN-t jelenít meg, és beágyazza őket egy szerver által megjelenített JSON-blobba az oldal forrásában.
Amikor a Frontier megpróbált kijavítani egy korábbi e-mail-szivárgást a Foglalásom kezelése oldalon, két új szivárgást vezetett be – amelyek közül az egyik telefonszámokat is nyilvánosságra hozott.
Volt egy negyedik sebezhetőség is: egy végpont, amely kizárólag PNR-ből adott vissza foglalási adatokat, vezetéknév nélkül. Az a Frontier megoldotta. A cég egy repülőgépmodellt is küldött a kutatónak. A többi foltozatlan marad.
Egy korábbi Frontier-alkalmazott, aki BobDaHacker bejegyzése után megkereste, némi kontextust kínált arra vonatkozóan, hogy miért lehet ilyen állapotban a kódbázis. „Az IBE már örökölt kódbázisnak számított” – írta a kutató képernyőképein látható foglalási rendszerre utalva. „Arról beszéltünk, hogy leállítjuk, és lecseréljük egy tisztább, modernebb megoldásra. Az IBE a generált konfigurációk és kódok zűrzavara volt, amelyhez csak egy ember volt elég idősebb ahhoz, hogy megérintse. A többiek alapvetően körülötte táncoltak.” Az alkalmazott hozzátette, hogy a biztonsági incidens nem volt meglepő, tekintettel az általuk tapasztalt munkahelyi kultúrára.
A BobDaHacker végig követte a szabványos felelősségteljes nyilvánosságra hozatalt, március 3-án egy kezdeti jelentést, több nyomon követést és egy hivatalos 30 napos határidőt tűztek ki június 12-re, amelyet a Frontier válasz nélkül hagyott át. A mai napig a Frontier nem adott ki nyilvános közleményt.