Um bug no site da United Airlines expôs os dados dos clientes da companhia aérea
Um bug no site da United Airlines permite que qualquer pessoa acesse informações de passagens para viajantes que solicitaram reembolso.
No site da companhia aérea, o usuário pode consultar o status da devolução de sua passagem, digitando o número da passagem e o sobrenome. Mas o site não conferiu o sobrenome, o que possibilitou o acesso às informações de reembolso de outros viajantes alterando o número do bilhete.
O especialista em segurança de TI Oliver Linow, que descobriu o bug, disse ao TechCrunch que pode ver os nomes dos viajantes, o meio de pagamento e a moeda usada para comprar a passagem, bem como o valor do reembolso. Mais de 100.000 desses registros com dados de clientes estavam disponíveis.
A United, como a maioria das outras companhias aéreas, permite que os passageiros acessem e alterem seus próximos voos usando apenas o número do bilhete e o sobrenome do passageiro. Assim, qualquer pessoa poderia, sabendo o número do bilhete, alterar as informações do voo de outra pessoa.
Linov relatou o problema ao United em 6 de julho. A companhia aérea levou um mês para consertar. Mas Linov não recebeu mais resposta da companhia aérea.
Não se sabe há quanto tempo o bug existe. A United não respondeu a nenhum e-mail perguntando se a companhia aérea havia relatado o incidente às autoridades de proteção de dados.
As empresas que violarem os regulamentos europeus de proteção de dados podem ser multadas em até 4% de sua receita anual.
Durante a pandemia, as companhias aéreas retiveram bilhões de dólares em reembolsos em meio a um declínio acentuado no número de passageiros. Posteriormente, a United recebeu uma parte de US$ 5 bilhões de um pacote de ajuda federal dos Estados Unidos de US$ 25 bilhões destinado a manter o avião à tona.
No início deste mês, a United disse que demitiria cerca de 20% de sua força de trabalho – cerca de 16.370 funcionários.