На сайте авиакомпании пользователи могут проверить статус возврата свего билета, введя номер билета и фамилию. Но веб-сайт не проверял фамилию, что давало возможность получить доступ к информации о возмещении другим путешественникам, меняя номер билета.
Эксперт по ИТ-безопасности Оливер Линоу , который обнаружил ошибку, сказал изданию TechCrunch, что он может видеть фамилии путешественников, средства оплаты и валюту, использованную для покупки билета, а также сумму возмещения. Таких записей с данными клиентов было доступно более 100 000.
United, как и большинство других авиакомпаний, позволяет пассажирам получать доступ к своим предстоящим рейсам и изменять их, используя только номер билета и фамилию пассажира. Таким образом, любой мог, зная номер билета, поменть информацию о чужом перелете.
Линов сообщил о проблеме в United 6 июля. На исправление у авиакомпании ушел месяц. Но Линов больше не получил ответа от авиакомпании.
Неизвестно, как долго существовала ошибка. United не ответила ни на одно электронное письмо с вопросами о том, сообщила ли авиакомпания органам по защите данных об этом инциденте.
Компании, нарушившие европейские правила защиты данных, могут быть оштрафованы на сумму до 4% их годового дохода.
Во время пандемии авиакомпании удержали возмещение на миллиарды долларов на фоне резкого сокращения количества пассажиров. Позже United получила долю в размере 5 миллиардов долларов из пакета федеральной помощи США в размере 25 миллиардов долларов, направленного на поддержание авиалайнера на плаву.
Ранее в этом месяце United заявила, что уволит около 20% своих сотрудников - около 16 370 сотрудников.
Изображение на обложке: Lucas Manfredi / FOXBusiness
Подписывайся на Эксплойт в Telegram, чтобы всегда оставаться на страже своей безопасности и анонимности в интернете.
Читать далее...