Пассажир «взломал» сайт авиаперевозчика, чтобы узнать, кто забрал его багаж.

  • Автор темы fenix
  • Дата начала

fenix

Эксперт
Команда форума
Судья
ПРОВЕРЕННЫЙ ПРОДАВЕЦ ⭐⭐⭐⭐⭐
Private Club
Регистрация
26/8/16
Сообщения
9.672
Репутация
53.002
Реакции
52.755
RUB
10.000
Депозит
300 000 рублей
Сделок через гаранта
208
Индиец нашёл контакты другого пассажира, чемодан которого по ошибке забрал после рейса, — и большую дыру в безопасности — на сайте авиаперевозчика.

Нандан Кумар летел местным лоукостером IndiGo. Уже придя домой, он понял, что забрал с конвейера чужой чемодан — почти один в один, как у него самого. Он вернулся в аэропорт, но к тому времени его чемодана там уже не было.

На багажной бирке был код бронирования, и Кумар позвонил в компанию, чтобы спросить, кто владелец подхваченного им багажа. Там называть его отказались, сославшись на политику конфиденциальности и обработки персональных данных, но пообещали перезвонить, когда свяжутся с ним. Поддержка пыталась дозвониться до второго пассажира несколько раз, но он не поднимал трубку.

Ответного звонка Кумару тоже так и не поступило, и на следующий день 28-летний разработчик решил взять всё в свои руки. Сначала он попробовал узнать адрес или номер второго пассажира по коду через сайт — через систему чек-ина, отредактировать бронирование и изменить контакты.

Эти способы не сработали, и тогда он заглянул в консоль разработчика в браузере на сайте IndiGo. В логах нашёлся телефон второго пассажира. Кумар встретился с ним и поменялся чемоданами.

Кумар отмечает, что такие пользовательские данные должны быть зашифрованы, а не храниться в свободном доступе для всех желающих: так кто угодно может, например, сфотографировать бирку на сумке в аэропорту и без труда получить информацию о владельце.

В IndiGo изданию заявили, что изучают ситуацию, сайт скомпрометирован не был, а все ИТ-процессы у них в норме.
 
Сверху Снизу