Tietoturva

Finnairin käyttämästä järjestelmästä paljastui tietoturva-aukko: Älä paljasta tärkeää tietoa lentovarauksestasi

Julkaistu:

Haavoittuvuudet
Finnairia ja lukuisia muita lentoyhtiöitä koskettanut haavoittuvuus mahdollisti varausten näpelöinnin.
Kansainvälisestä Amadeus-varausjärjestelmästä on löydetty haavoittuvuus, joka mahdollistaa lentomatkustajien tekemien yksityisten varausten katselemisen ja muuttamisen ja henkilökohtaisten tietojen varastamisen. Asiasta uutisoivat muun muassa Bleeping Computer ja TechCrunch.

Amadeus-järjestelmää käyttää 141 lentoyhtiötä, Finnair mukaan lukien, kertoo uhan havainnut tietoturvayhtiö Safety Detective.

Safety Detectiven mukaan asiakastietoja, kuten nimiä, puhelinnumeroita ja osoitteita, oli mahdollista kaivella yksinkertaisesti syöttämällä lentoyhtiön verkkosivulla kuusimerkkinen varausnumero, joka viittaa asiakkaan tietoihin lentoyhtiön varausjärjestelmässä. Sen lisäksi, että jotkut matkustajat jakelevat varausnumeroaan huolettomasti, niitä on myös mahdollista arvata syöttämällä niitä koneellisesti lentoyhtiön verkkosivulla, kunnes joku numeroista toimii. Varausnumero voi paljastua myös lentolippujen viivakoodeista.

Asiakastietojen varastamisen lisäksi hyökkääjä pystyisi muuttamaan varaustietoja, kuten vaihtaa ateriaa tai istumapaikkaa lentokoneessa.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Finnair vahvistaa IS Digitodaylle käyttävänsä Amadeuksen varausjärjestelmää, mutta lentoyhtiöllä ei ole todisteita, että haavoittuvuutta olisi käytetty hyväksi yhdenkään asiakkaan vahingoksi.

– Tällä hetkellä vaikuttaa siltä, että ongelma ei ole koskettanut yhtäkään Finnairin asiakasta, lehdistöedustaja toteaa.

Korjaus ei välttämättä vielä riitä

Finnair myös korostaa jo varhain viime vuonna tehneensä muutoksen, joka vähentää uhkaa. Tuolloin matkustajan tietoihin viittaavat pnr-koodit otettiin pois matkatavaroiden lapuista ja myös tarkastuskorteista (boarding pass). Näin omaa varausnumeroaan on vaikeampi vuotaa ulkopuolisille vaikkapa huolettomasti otetun ja Facebookissa levitetyn valokuvan kautta tai jättämällä lappusia hotelleihin. Tämä ei poista sitä uhkaa, että joku yrittää arvata varausnumeroita väkisin.
Espanjalainen Amadeus sanoi korjanneensa haavoittuvuuden, mutta Safety Detective väitti The Registerille, että korjaus on vain pintapuolinen. Tietoturvayhtiö vertasi tilannetta siihen, että lattialla olevat roskat on vain peitetty matolla sen sijaan, että ne olisi siivottu pois. Asiakastietojen vuotaminen saattaa siis edelleen olla mahdollista.

Finnair on tutkinut tietoturvaongelmaa Amadeuksen kanssa ja Finnairin mukaan työ jatkuu edelleen.

Kommentit

    Näytä lisää
    Kommentointi on päättynyt