Uma companhia aérea que deixa todos os registros de viagem de seus passageiros vulnerável a hackers seria um alvo atraente para a espionagem. Menos óbvio, mas talvez ainda mais útil para esses espiões, seria o acesso a um serviço de viagem premium que abrange 10 companhias aéreas diferentes, deixou suas próprias informações detalhadas de voo acessíveis a ladrões de dados e parece ser favorecido por diplomatas internacionais.
Foi isso que uma equipe de pesquisadores de segurança cibernética encontrou na forma de Airportr, um serviço de bagagem do Reino Unido que faz parceria com as companhias aéreas para permitir que seus usuários em grande parte do Reino Unido e da Europa paguem para pegar suas malas, checar e entregues ao seu destino. Pesquisadores da empresa CyberX9 descobriram que bugs simples no website da Airportr permitiram que eles acessassem praticamente todas as informações pessoais desses usuários, incluindo planos de viagem ou até obtenham privilégios de administrador que permitiriam que um hacker redirecionasse ou roubasse a bagagem em trânsito. Entre a pequena amostra de dados do usuário que os pesquisadores revisaram e compartilharam com a Wired, eles descobriram o que parecem ser as informações pessoais e os registros de viagens de vários funcionários do governo e diplomatas do Reino Unido, Suíça e EUA.
“Qualquer um seria capaz de ganhar ou poderia ter um acesso absoluto de super-administração a todas as operações e dados desta empresa”, diz Himanshu Pathak, fundador e CEO da CyberX9. “As vulnerabilidades resultaram em uma exposição confidencial de informações privadas de todos os clientes da companhia aérea em todos os países que usaram o serviço desta empresa, incluindo controle complete sobre todas as reservas e bagagem. Porque uma vez que você é o super-administrador de seus sistemas mais sensíveis, você tem a capacidade de fazer qualquer coisa”.
O CEO da Airportr, Randel Darby, confirmou as descobertas do CyberX9 em uma declaração escrita fornecida à Wired, mas observou que o Airportr havia corrigido as vulnerabilidades alguns dias depois que os pesquisadores conscientizavam a empresa sobre os problemas em abril passado. “Os dados foram acessados apenas pelos hackers éticos com o objetivo de recomendar melhorias na segurança da Airportr, e nossa resposta imediata e mitigação não garantiu mais riscos”, escreveu Darby em comunicado. “Levamos nossas responsabilidades para proteger os dados do cliente muito a sério.”
Os pesquisadores do CyberX9, por sua vez, contrariam que a simplicidade das vulnerabilidades que eles descobriram significa que não há garantia de que outros hackers não acessaram os dados da Airportr primeiro. Eles descobriram que uma vulnerabilidade da Internet relativamente básica permitia que eles alterassem a senha de qualquer usuário para obter acesso à sua conta se tivessem apenas o endereço de e mail do usuário-e também pudessem ser capazes de adivinhar endereços de e-mail de força bruta sem limitações de taxa no website. Como resultado, eles poderiam acessar dados, incluindo nomes de todos os clientes, números de telefone, endereços domésticos, planos de viagem detalhados e histórico, passagens aéreas, passes de embarque e detalhes de voo, imagens de passaporte e assinaturas.
Ao obter acesso a uma conta de administrador, dizem os pesquisadores da CyberX9, um hacker também poderia ter usado as vulnerabilidades que encontrou para redirecionar a bagagem, roubar bagagem ou até cancelar voos em websites de companhias aéreas usando os dados da AirPortr para obter acesso às contas de clientes nesses websites. Os pesquisadores dizem que também poderiam ter usado seu acesso para enviar e -mails e mensagens de texto como airportr, um risco potencial de phishing. Airportr diz à Wired que possui 92.000 usuários e reivindicações em seu site que é tratado mais de 800.000 sacos para os clientes.
