Баг на сайті United Airlines розкривав дані клієнтів авіакомпанії
Помилка на веб-сайті United Airlines дозволяє отримати доступ до інформації про квитки для мандрівників, які запросили повернення.
На сайті авіакомпанії користувачі можуть перевірити статус повернення свого квитка, ввівши номер квитка та прізвище. Але веб-сайт не перевіряв прізвище, що давало можливість отримати доступ до інформації про відшкодування іншим мандрівникам, змінюючи номер квитка.
Експерт з ІТ-безпеки Олівер Ліноу, який виявив помилку, сказав виданню TechCrunch, що він може бачити прізвища мандрівників, засоби оплати та валюту, використану для покупки квитка, а також суму відшкодування. Таких записів з даними клієнтів було доступно понад 100 тисяч.
United, як і більшість інших авіакомпаній, дозволяє пасажирам отримувати доступ до своїх майбутніх рейсів та змінювати їх, використовуючи лише номер квитка та прізвище пасажира. Таким чином, будь-хто міг, знаючи номер квитка, поміняти інформацію про чужий переліт.
Лінов повідомив про проблему в United 6 липня. На виправлення авіакомпанії пішов місяць. Але Лінов більше не отримав відповіді від авіакомпанії.
Невідомо, як довго існувала помилка. United не відповіла на жодного електронного листа з питаннями про те, чи повідомила авіакомпанія органам захисту даних про цей інцидент.
Компанії, які порушили європейські правила захисту даних, можуть бути оштрафовані на суму до 4% їхнього річного доходу.
Під час пандемії авіакомпанії втримали відшкодування на мільярди доларів на тлі різкого скорочення пасажирів. Пізніше United отримала частку у розмірі 5 мільярдів доларів із пакету федеральної допомоги США у розмірі 25 мільярдів доларів, спрямованого на підтримку авіалайнера на плаву.
Раніше цього місяця United заявила, що звільнить близько 20% своїх співробітників – близько 16370 співробітників.