إن شركة طيران تترك جميع سجلات سفر ركابها عرضة للمتسللين من شأنها أن تجعل هدفًا جذابًا للتجسس. أقل وضوحًا ، ولكن ربما يكون أكثر فائدة لتلك الجواسيس ، سيكون الوصول إلى خدمة سفر متميزة تمتد 10 شركات طيران مختلفة ، وترك معلومات الطيران الخاصة بها في متناول لصوص البيانات ، ويبدو أنها تفضلها الدبلوماسيون الدوليون.
هذا ما وجده فريق من باحثو الأمن السيبراني في شكل Airportr ، وهي خدمة أمتعة مقرها المملكة المتحدة تشارك مع شركات الطيران للسماح للمستخدمين إلى حد كبير في المملكة المتحدة وأوروبا بالدفع لالتقاط حقائبهم وفحصها وتسليمها إلى وجهتها. وجد الباحثون في شركة Cyberx9 أن الأخطاء البسيطة في موقع Airportr على الويب سمحت لهم بالوصول إلى جميع المعلومات الشخصية لهؤلاء المستخدمين ، بما في ذلك خطط السفر ، أو حتى كسب امتيازات المسؤول التي سمحت للمتسلل بإعادة توجيه الأمتعة أو سرقة الأمتعة أثناء العبور. من بين عينة صغيرة من بيانات المستخدم التي استعرضها الباحثون ومشاركتهم مع Wired ، وجدوا ما يبدو أنه المعلومات الشخصية وسجلات السفر لعدة مسؤولي ودبلوماسيين من المملكة المتحدة وسويسرا والولايات المتحدة.
يقول هيمانشو باثاك ، مؤسس ومدير التنفيذي لشركة Cyberx9: “كان من الممكن أن يتمكن أي شخص من الحصول على أو قد يكون لديه إمكانية الوصول إلى جميع العمليات وبيانات هذه الشركة”. “أدت نقاط الضعف إلى التعرض الكامل للمعلومات السرية الخاصة لجميع عملاء شركات الطيران في جميع البلدان الذين استخدموا خدمة هذه الشركة ، بما في ذلك السيطرة الكاملة على جميع الحجوزات والأمتعة. لأنه بمجرد أن تكون أكثر من أنظمةهم الأكثر حساسية ، لديك القدرة على فعل أي شيء.”
أكد راندل داربي ، الرئيس التنفيذي لشركة Airportr ، أن نتائج Cyberx9 في بيان مكتوب تم تقديمه إلى Wired ولكن أشار إلى أن Airportr قد أصلحت نقاط الضعف بعد أيام قليلة من إطلاع الباحثين على المشكلات في أبريل الماضي. وكتب داربي في بيان: “تم الوصول إلى البيانات فقط من قبل المتسللين الأخلاقيين لغرض التوصية بالتحسينات على أمن AirPortr ، ورد استجابةنا الفوريين وتخفيفنا من أي خطر آخر”. “نتحمل مسؤولياتنا لحماية بيانات العميل على محمل الجد.”
يتعارض باحثو Cyberx9 ، من جانبهم ، إلى أن بساطة نقاط الضعف التي وجدوا أنها تعني أنه لا يوجد ضمان لم يتمكن المتسللون الآخرون من الوصول إلى بيانات AirPortr أولاً. ووجدوا أن ثغرة الأمن الأساسية نسبيًا سمحت لهم بتغيير كلمة مرور أي مستخدم للوصول إلى حسابه إذا كان لديهم فقط عنوان بريد إلكتروني للمستخدم-وكانوا أيضًا قادرين على عناوين البريد الإلكتروني لتخمين القوة دون أي قيود على السعر. نتيجة لذلك ، يمكنهم الوصول إلى البيانات بما في ذلك جميع أسماء العملاء وأرقام الهواتف وعناوين المنازل وخطط السفر التفصيلية والتاريخ وتذاكر الطيران ومرور الصعود إلى الصعود وتفاصيل الطيران وصور جوازات السفر والتوقيعات.
من خلال الوصول إلى حساب المسؤول ، يقول الباحثون في Cyberx9 ، يمكن أن يستخدم المتسلل أيضًا نقاط الضعف التي وجدها لإعادة توجيه الأمتعة أو سرقة الأمتعة أو حتى إلغاء الرحلات على مواقع الطيران باستخدام بيانات AirPortr للوصول إلى حسابات العملاء في تلك المواقع. يقول الباحثون إنهم كان بإمكانهم أيضًا استخدام وصولهم لإرسال رسائل البريد الإلكتروني والرسائل النصية مثل AirPortr ، وهو مخاطر التصيد المحتملة. يخبر Airportr Wired أنه يحتوي على 92000 مستخدم ، ويطالب على موقعه على الإنترنت بأنه تم التعامل معه أكثر من 800000 حقيبة للعملاء.
