Uçak Rezervasyon Sisteminde Güvenlik Açığı

Uçak ile seyahat eden ve dünyanın dört bir yanından rezervasyonlarını online olarak yapan yolcular, siber saldırganların seyahat ayrıntılarına erişip bunları değiştirmesi, kişisel verilerinin ele geçirilmesi ve hatta uçuş millerinin çalınmasına neden olabilen kritik bir güvenlik açığına maruz kaldı.

İsrailli ağ güvenliği araştırmacısı Noam Rotem, İsrail havayolu firması El Al’da uçuş rezervasyonu yapacağı sırada bir güvenlik açığı keşfetti.

United Airlines, Lufthansa ve Canada Airlines gibi uluslararası havayolu şirketleri tarafından kullanılmakta olan ve Amadeus firması tarafından geliştirilen çevrimiçi uçuş rezervasyon sisteminde ortaya çıkan açıktan yaklaşık 141 havayolu şirketinin etkilendiği düşünülüyor.

Uçuş rezervasyonu yapıldıktan sonra havayolu firmaları PNR numarası ile müşterilerin rezervasyon durumu ve PNR ile ilişkili bilgileri kontrol etmelerini sağlayan benzersiz bir link gönderir. Noam Rotem gönderilen bağlantıdaki “RULE_SOURCE_1_ID” parametresinin değerini başka bir müşteriye ait PNR numarası ile değiştirerek o müşteriye ait kişisel bilgiler ve rezervasyon verilerine erişebildi.

Aynı açığı kullanan bir saldırgan, müşteriye ait PNR kodu ve soyadı ile o kişiye ait uçuş millerini başka hesaba aktarabilir, koltuk ve yemek seçimleri yapabilir, müşterinin e-posta bilgilerini güncelleyebilir ve uçuş rezervasyonunu iptal edebilir veya değiştirebilir.

Rotem blog yazısında açığın kullanılabilmesi için müşterilerin PNR koduna ihtiyaç olduğunu fakat El Al firmasının bu kodları şifrelenmemiş e-posta yoluyla gönderdiğini ve bir çok kişinin PNR kodlarını Facebook veya Instagram gibi sosyal medya hesaplarında paylaştığını belirterek bunlara ulaşmak isteyen motive bir saldırgan için elde edilmesinin kolay olduğunu belirtti.

Rotem, PNR kodlarının bulunabilmesi için alfanümerik ve büyük harf kombinasyonları üreten bir kod vasıtasıyla deneme yapabildiğini ve Amadeus portalının ise bu kaba kuvvet saldırısına karşı bir önlem almamasından dolayı bir çok müşteriye ait PNR koduna ulaşabildiğini belirtti.

Araştırmacı tarafından yayınlanan videoda kaba kuvvet saldırısı ile PNR kodlarının nasıl tespit edildiğini görebilirsiniz:

Amadeus firması tarafından geliştirilen rezervasyon sistemi en az 141 havayolu firması tarafından kullanıldığı için güvenlik açığı yüz milyonlarca yolcuyu ilgilendirdi.

Güvenlik açığını tespit ettikten sonra Rotem hemen firma ile iletişime geçti. Kaba kuvvet saldırılarını önlemek için Captcha, parolalar ve bot koruma mekanizmalarının getirilmesini önerdi. Amadeus firması ise güvenliğin her şeyden önce geldiğini, sistemlerin sürekli izlendiğini, teknik ekiplerinin harekete geçtiğini ve sorunun çözüldüğünü açıkladı. 

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*