Privédata ex-premier Australië achterhaald via foto van boardingpass
Een publieke Instagramfoto van een boardingpass en een fout in de website van de Australische luchtvaartmaatschappij Qantas zorgden ervoor dat beveiligingsonderzoeker Alex Hope het paspoortnummer en telefoonnummer van de voormalige Australische premier Tony Abbott kon achterhalen.
In maart van dit jaar plaatste Abbott op Instagram een foto van zijn boardingpass, nadat hij uit Japan was teruggekomen. Op het ticket was ook de referentiecode zichtbaar. Hope vulde deze code en de naam van Abbott in op de website van Qantas en kreeg de vluchtgegevens te zien. Andere gegevens werden niet op het scherm getoond.
De onderzoeker besloot naar de HTML-code van de pagina te kijken en ontdekte dat daarin het paspoortnummer en het telefoonnummer van Abbott stonden vermeld, alsmede opmerkingen van het Qantas-personeel over de reservering. Hope waarschuwde vervolgens de overheid en Qantas over het probleem, waarna de oud-premier een nieuw paspoortnummer kreeg en de kwetsbaarheid in de website werd verholpen.
Daarnaast kreeg Hope, die zijn bevindingen in een lezenswaardig verhaal uit de doeken doet, Abbott nog te spreken. De ex-premier wilde onder andere weten hoe het kon dat zijn paspoortnummer was achterhaald. De onderzoeker merkt op dat luchtvaartmaatschappijen hun klanten zouden moeten waarschuwen om geen foto's van een boardingpass online te plaatsen.
Het verschil identificatie en autenticatie blijft een vervelend iets.
Zo leer je weer eens wat nieuws.
Het verschil identificatie en autenticatie blijft een vervelend iets.
Iedereen met een vliegticket kan met dat ref.nr en achternaam zijn gegevens opvragen en wijzigen (zoals voorkeuren, etc.).
Als iemand dus die gegevens met anderen deelt kunnen zij dat ook: logisch.
Echter als die iemand niet weet dat een foto van je boardingpas op social media zetten gelijk is aan het publiceren op de voorpagina van een krant, dan heb je als bedrijf wel een probleem.
Wellicht moet de CISO van Australië nog wat meer werk maken van de bewustwordingstrainingen voor de medewerkers :-)
Hopelijk is die aangemeld als een veiligheidsincident en kan het proces verbeterd worden (<NOT>)
Het issue lijkt me meer dat Qantas het nodig vindt om informatie te zetten op een kaartje om het vliegtuig in te stappen dat daar helemaal niet hoort. Dat de combinatie booking reference en achternaam toegang geeft tot een grote hoeveelheid privé informatie is niet de fout van de eindgebruiker, maar van Qantas (en alle andere maatschappijen, die gebruiken volgens mij exact hetzelfde systeem).
Maar goed, je kan een politicus het natuurlijk kwalijk nemen dat hij niet weet hoe de back-office van een luchtvaartmaatschappij in elkaar zit. /s..
Heb je dit artikel wel goed begrepen?
Er staat: "De onderzoek besloot naar de HTML-code van de pagina te kijken en ontdekte dat daarin het paspoortnummer en het telefoonnummer van Abbott stonden vermeld, alsmede opmerkingen van het Qantas-personeel over de reservering."
Hoezo is dit 'normale werking van zo'n site'? Dit is echt niet goed! Wat doet een paspoortnummer, telefoonnummer en opmerkingen over de reservering in de bron-code van de site? De authenticiteit van de bezoeker is niet vastgesteld en daarom dient deze informatie afgeschermd te zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
