image

Privédata ex-premier Australië achterhaald via foto van boardingpass

woensdag 16 september 2020, 16:49 door Redactie, 9 reacties

Een publieke Instagramfoto van een boardingpass en een fout in de website van de Australische luchtvaartmaatschappij Qantas zorgden ervoor dat beveiligingsonderzoeker Alex Hope het paspoortnummer en telefoonnummer van de voormalige Australische premier Tony Abbott kon achterhalen.

In maart van dit jaar plaatste Abbott op Instagram een foto van zijn boardingpass, nadat hij uit Japan was teruggekomen. Op het ticket was ook de referentiecode zichtbaar. Hope vulde deze code en de naam van Abbott in op de website van Qantas en kreeg de vluchtgegevens te zien. Andere gegevens werden niet op het scherm getoond.

De onderzoeker besloot naar de HTML-code van de pagina te kijken en ontdekte dat daarin het paspoortnummer en het telefoonnummer van Abbott stonden vermeld, alsmede opmerkingen van het Qantas-personeel over de reservering. Hope waarschuwde vervolgens de overheid en Qantas over het probleem, waarna de oud-premier een nieuw paspoortnummer kreeg en de kwetsbaarheid in de website werd verholpen.

Daarnaast kreeg Hope, die zijn bevindingen in een lezenswaardig verhaal uit de doeken doet, Abbott nog te spreken. De ex-premier wilde onder andere weten hoe het kon dat zijn paspoortnummer was achterhaald. De onderzoeker merkt op dat luchtvaartmaatschappijen hun klanten zouden moeten waarschuwen om geen foto's van een boardingpass online te plaatsen.

Image

Reacties (9)
16-09-2020, 18:31 door Anoniem
Voor iemand als Tony Abbott hebben we in Nederland een leuke term: halve zool.
16-09-2020, 20:59 door [Account Verwijderd]
Door Anoniem: Voor iemand als Tony Abbott hebben we in Nederland een leuke term: halve zool.
Natuurlijk kun je dit zeggen, maar zeg er dan ook even bij dat de meeste politici totaal niet geïnformeerd zijn over beveiligingsvraagstukken en dan kun je je afvragen of je dat iemand wel kan verwijten. Als iemand wél gediplomeerd is en zo'n fout maakt, dan is dat vele malen kwalijker.
16-09-2020, 21:13 door karma4
Er is ook gelekt hoe Tony Abbot heet, kan van het weten van die naam ook misbruik gemaakt worden?
Het verschil identificatie en autenticatie blijft een vervelend iets.
16-09-2020, 23:53 door Anoniem
"For security reasons, we try to change our Prime Minister every six months, and to never use the same Prime Minister on multiple websites."

Zo leer je weer eens wat nieuws.
17-09-2020, 09:38 door Anoniem
Door karma4: Er is ook gelekt hoe Tony Abbot heet, kan van het weten van die naam ook misbruik gemaakt worden?
Het verschil identificatie en autenticatie blijft een vervelend iets.
...en is ook compleet irrelevant. Telefoonnummer en paspoortnummer zijn geen dingen die je op je voorhoofd tatoeëert.
17-09-2020, 09:47 door Anoniem
Dat is geen 'lek',maar een normale werking van zo'n site.
Iedereen met een vliegticket kan met dat ref.nr en achternaam zijn gegevens opvragen en wijzigen (zoals voorkeuren, etc.).
Als iemand dus die gegevens met anderen deelt kunnen zij dat ook: logisch.

Echter als die iemand niet weet dat een foto van je boardingpas op social media zetten gelijk is aan het publiceren op de voorpagina van een krant, dan heb je als bedrijf wel een probleem.
Wellicht moet de CISO van Australië nog wat meer werk maken van de bewustwordingstrainingen voor de medewerkers :-)
Hopelijk is die aangemeld als een veiligheidsincident en kan het proces verbeterd worden (<NOT>)
17-09-2020, 09:53 door PietdeVries
Door Anoniem: Voor iemand als Tony Abbott hebben we in Nederland een leuke term: halve zool.

Het issue lijkt me meer dat Qantas het nodig vindt om informatie te zetten op een kaartje om het vliegtuig in te stappen dat daar helemaal niet hoort. Dat de combinatie booking reference en achternaam toegang geeft tot een grote hoeveelheid privé informatie is niet de fout van de eindgebruiker, maar van Qantas (en alle andere maatschappijen, die gebruiken volgens mij exact hetzelfde systeem).

Maar goed, je kan een politicus het natuurlijk kwalijk nemen dat hij niet weet hoe de back-office van een luchtvaartmaatschappij in elkaar zit. /s..
17-09-2020, 11:29 door Anoniem
Door Anoniem: Dat is geen 'lek',maar een normale werking van zo'n site.
Onzin.
Heb je dit artikel wel goed begrepen?
Er staat: "De onderzoek besloot naar de HTML-code van de pagina te kijken en ontdekte dat daarin het paspoortnummer en het telefoonnummer van Abbott stonden vermeld, alsmede opmerkingen van het Qantas-personeel over de reservering."

Hoezo is dit 'normale werking van zo'n site'? Dit is echt niet goed! Wat doet een paspoortnummer, telefoonnummer en opmerkingen over de reservering in de bron-code van de site? De authenticiteit van de bezoeker is niet vastgesteld en daarom dient deze informatie afgeschermd te zijn.
17-09-2020, 14:13 door Anoniem
Vroeger stonden telefoonnummers en naam gewoon in een openbaar telefoonboek…
Laten we daar nou eens niet zo spastisch over doen.
En een paspoortnummer zonder het paspoort zelf, daar kun je op zich toch weinig mee.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.