United Airlines не спешит патчить баги

27.11.2015 | 11:25
Обнаруженная в мобильном приложении United Airlines уязвимость, эксплуатация которой могла привести к компрометации информации о бронировании и данных пассажиров, почти полгода оставалась незапатченной. Разработчики исправили баг только десять дней назад.

ИБ-исследователь Ренди Вестергрен (Randy Westergren) в мае обнаружил баг в мобильном приложении и доложил о нем в соответствии с правилами программы Bug Bounty, которую авиакомпания учредила первой в отрасли. Однако патч был предоставлен только спустя шесть месяцев, в течение которых Вестергрен добивался ответа от United, в конце концов пригрозив раскрыть подробности об уязвимости и написать об этом в известное издание, посвященное современным технологиям.

Баг, содержавшийся в API-интерфейсе, компрометировал персональные данные участников программы лояльности United MileagePlus. Вестергрен смог провести атаку на приложение, создав аккаунт, забронировав перелет и изучив соответственные запросы приложения. Таким образом он выяснил, что можно воспользоваться определенным идентификатором, mpNumber, чтобы получить полетную и контактную информацию о любом члене программы MileagePlus.

«Уязвимость позволяла атакующему задать номер MileagePlus в запросе о ближайших забронированных полетах. То есть человек мог сделать запрос со своего аккаунта, а получить информацию о другом аккаунте», — рассказал исследователь.

«Хотя номера MileagePlus непоследовательны, формат в какой-то степени предсказуем, — отметил Вестергрен. — Для проведения массированной атаки нужно угадать mpNumber и сделать запрос на уязвимый API endpoint. Если это целевая атака, нужно просто знать mpNumber жертвы».

Баг представляет собой уязвимость непрямой ссылки на объект, позволяющую скомпрометировать любые данные, на которые ссылается параметр. В ответ на запрос система предоставляет уникальный «локатор бронирования билета», а также фамилию клиента — этого, по словам Вестергрена, хватит для внесения изменений в бронирование.

«Полученные данные позволяют получить доступ к расписанию вылетов и прилетов рейса, квитанции об оплате (включая метод оплаты и последние четыре цифры кредитки), контактные данные пассажира (основные и дополнительные телефонные номера); этого достаточно для отмены бронирования», — написал исследователь в блоге.

В середине июля Вестергрен получил уведомление от United о том, что другой участник программы уже заявил об этом баге и, таким образом, Вестергрен не может претендовать на премию. Несмотря на это, заявитель продолжил настаивать на своем, но авиакомпания не пошла на уступки.

В конечном итоге United приняла отчет об уязвимости в августе и в сентябре уведомила исследователя о том, что патч уже в разработке. Но 5 ноября уязвимость так и не была закрыта, и Вестергрен проинформировал авиакомпанию о том, что 28 ноября он опубликует подробности о баге в открытых источниках, так как с момента подачи прошло уже шесть месяцев. В ответ United объяснила задержку тем, что заявок в программе Bug Bounty было слишком много, пригрозив Вестергрену пожизненной дисквалификацией за публикацию информации об уязвимости. Вестергрен рассказал об этой истории журналисту, и только после того, как репортер обратился в United за официальным комментарием, патч был выпущен.

«Мне сообщили, что я не был первым участником, доложившим об этом баге. По правилам Bug Bounty United награда присуждается первому, кто найдет баг (это по большому счету стандартное правило для всех подобных программ), — рассказывает Вестергрен. — Но United не предоставила мне никаких доказательств и, я думаю, не предоставит вообще».

Вестергрен — не новичок в охоте за багами. Это он нашел бреши в системе автоматизации умного дома Z-Way, Android-приложении Marriott, MyFIOS от Verizon и фитнес-приложении MyFitness Pal. Для него история с United — не первый негативный опыт относительно процедуры обнародования уязвимостей, но он впервые столкнулся с проблемой в самой программе.

«Для меня участие в программе или награда не так уж важны. Я одинаково отношусь ко всем вендорам вне зависимости от того, есть ли у них Bug Bounty. Но при этом я думаю, что подобные инициативы позитивно влияют на развитие ИБ-сообщества. Этот неприятный опыт для меня ничего не меняет», — признался Вестергрен.
United Airlines, патч, баг
По материалам threatpost.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код