Пользователь получает ссылку в открытом виде на электронную почту. При этом хакер, имеющий сравнительно невысокую квалификацию, способен перехватить такую информацию и опередить абонента — зайти на сайт перевозчика якобы для регистрации.
Далее злоумышленник получит доступ ко всем персональным данным, включая номер телефона, и может изменить данные бронирования.
Уязвимость была обнаружена исследователями в области интернет-безопасности еще в 2018 году. Они оповестили авиаперевозчиков о возможных последствиях, посоветовав внедрить шифрование и дополнительную авторизацию пользователей в процессе взаимодействия с интернет-сервисами.
Однако, к настоящему моменту еще не все авиакомпании изменили логику своих сайтов, оставив фактически без защиты доступ к персональным данным своих клиентов, включая банковские реквизиты и информацию о совершенных платежах.
Ранее «Профиль» сообщал о киберугрозах для предприятий.
