Błąd w systemie e-biletów linii British Airways narażał pasażerów na wyciek danych – przestrzegają eksperci.

Błąd w systemie brytyjskiego przewoźnika pozwalał na wgląd w dane personalne pasażerów. Wyjaśniamy co się stało, że tak duża firma nie poradziła sobie z zabezpieczeniem informacji o swoich klientach. 

Przez lukę w systemie e-biletów brytyjskich linii lotniczych dane klientów mogły być dostępne dla niepowołanych osób. Nie jest to, niestety, przypadek odosobniony. Na początku roku podobne problemy dotknęły strony innych firm lotniczych: Air France, Vueling, Southwest, KLM, Jetstar, Air Europa, Thomas Cook oraz Transavia. Na sprawę zwrócił uwagę Xopero Software, producent rozwiązań do backupu danych.

Okazuje się, że maile o odprawie online wysyłane przez British Airways do pasażerów zawierają nieszyfrowane linki. Kierują one do automatycznego logowania do konta, w którym znajdują się szczegóły lotu i informacje personalne. Przez brak szyfrowania adres ten jest bardzo łatwy do przechwycenia. Korzystając np. z tej samej sieci WiFi – na przykład tej darmowej, dostępnej na lotnisku – możliwe jest przejęcie owego linku. Dzięki automatycznemu logowaniu, można swobodnie przeglądać wszelkie dane, które podała potencjalna ofiara. Tych danych jest, niestety, całkiem sporo. Co więcej – zakładając, że przestępca zyskałby dostęp właśnie na lotnisku, może np. wybierać ofiary szykujące się właśnie do dłuższych lotów, co skutecznie wydłużyłoby czas, po jakim ofiara odkryłaby, że cokolwiek się wydarzyła. Będąc w powietrzu nie mamy przecież, jako pasażerowie, łączności ze światem.

Wśród informacji “do wglądu” znalazły się adresy e-mail, numery telefonu, imiona i nazwiska, dane konta w serwisie British Airways oraz szczegółu lotu, takie jak numer rezerwacji czy miejsca. Problem odkryli badacze z firmy Wandera. Natychmiast powiadomili brytyjskiego przewoźnika. Prace nad usunięciem błędu nie powinny potrwać długo, jako że British Airways jest w ciągłym kontakcie ze specjalistami z branży zabezpieczeń. Jak twierdzi przedstawiciel koncernu, nawet po zalogowaniu do konta nie ma możliwości dostępu do żadnych danych paszportowych czy informacji o płatnościach.

Szacuje się, że przez ostatnie sześć miesięcy ok. 2,5 miliona użytkowników skorzystało z wrażliwych linków. Nie ma jednak dowodów na jakiekolwiek wykorzystanie błędu do nielegalnych celów.

– Chociaż nie znaleziono żadnych dowodów, nie można bagatelizować takich spraw. – mówi Bartosz Jurga, dyrektor sprzedaży Xopero Software – Taka marka jak British Airways powinna nie tylko korzystać z szyfrowanych linków, ale również wdrożyć mechanizmy dwupoziomowego uwierzytelniania podczas logowania do kont i odprawy online. Zwłaszcza, że to nie pierwsza tego typu wpadka przewoźnika.

To niestety prawda. British Airways ma na swoim koncie już kilka przypadków luk w systemach bezpieczeństwa. W październiku 2018 roku przewoźnik poinformował o wycieku danych niemal 400 tysięcy transakcji płatniczych. Później liczba ta zwiększyła się do ponad 0,5 miliona. W lipcu tego roku koncern został ukarany grzywną opiewającą na 230 milionów dolarów.