Фотографии посадочного талона содержат код бронирования, позволяющий вход на сайт авиакомпании для управления бронью.
После входа на страницу управления бронированием можно получить паспортный номер и телефон пассажира.
В HTML-коде страницы управления бронированием скрыты SSR-коды и внутренние заметки сотрудников авиакомпании.
Автор использовал пример посадочного талона бывшего премьер-министра Австралии Тони Эбботта для демонстрации уязвимости.
Уязвимость была сообщена Австралийскому разведывательному управлению (ASD) и авиакомпании Qantas, после чего Qantas устранила проблему.
Рекомендуется не публиковать фотографии посадочных талонов в интернете без сокрытия персональных данных.
Авиакомпании должны исключать чувствительные поля из ответа сервера при отображении данных пассажира.
Get notified when new stories are published for "🇷🇺 Hacker News Русский"