Przesadzę Martina z siedzenia przy przejściu na miejsce przy oknie, chociaż zapewne nie cierpi siedzieć przy oknie. Stevenowi zamówię koszerny posiłek, a Helen będzie miała dodatkową asystę, bo zaznaczyłem właśnie opcję “osoba niepełnosprawna wymagająca dodatkowej opieki”. Marka zaspamuję e-mailami, a do Roberta będę wydzwaniać po nocach. Oczywiście wszystko to jest hipotetyczne, ale biorąc pod uwagę to, co przeczytacie poniżej, okaże się, że wystarczy kilka klików, żeby tak się stało.
Panie pilocie! Dziura w samolocie!
W samolocie może dziury nie ma, ale w samym LOCIE już jest. Niedawno miała miejsce premiera nowej strony LOTu – lot.com. Nie będę jednak zajmować się jej nowym, koszmarnym wyglądem, ani też kiepską użytecznością, za którą odpowiada nisko latający “świetlik”. Skupię się na luce w systemie rezerwacji na lot.com, a co za tym idzie wycieku danych osobowych.
Na wstępie zaznaczę, że jeśli zarezerwowaliście bilet w LOT, to możecie mieć problem. A jaki? Specjalistą od zabezpieczeń nie jestem, ale jeśli prawie wszystkimi parametrami zapytania możemy sterować poprzez modyfikację adresu URL (sic!) i dodatkowo możemy sprawdzić kto, kiedy, gdzie poleci, to skala i powaga problemu rośnie.
Do jakich danych mamy dostęp?
Niewykluczone, że dzięki temu, że wszelkie parametry o rezerwacji są przekazywane przez ciąg w adresie url może się okazać, że zakres niezabezpieczonych danych jest znacznie większy niż ten, który za chwilę wymienię. Przede wszystkim, wiemy kto, kiedy, skąd, dokąd będzie lecieć. Mamy dostęp do takich danych jak nr lotu, nr rezerwacji, nr biletu elektronicznego, a także serię i nr karty stałego pasażera linii lotniczych. Dzięki wadliwie działającej aplikacji poznamy także numery telefonów i adresy e-mail pasażerów.
Co możemy zrobić mając dostęp do danych?
Możemy zmienić parametry takie jak: nr miejsca pasażera, zaznaczyć w formularzu usługi dodatkowo płatne, albo zrobić psikusa w postaci zamówienia dodatkowej asysty dla pasażera wybierając opcje typu “osoba niewidoma”/”osoba niesłysząca” z lub bez psa przewodnika i “pasażer niepełnosprawny” z wózkiem inwalidzkim. Możemy zmienić dane w postaci numeru telefonu, adresu e-mail. Możemy także wydrukować e-bilet i przy odrobinie szczęścia polecieć za kogoś.
Postanowiłem zatelefonować pod dwa losowo wybrane numery telefonów z listy. Na jednym z nich włączyła się niemieckojęzyczna skrzynka głosowa, co by się zgadzało, gdyż właścicielem numeru jest pan Roland z Niemiec. Pod drugim odezwał się anglojęzyczny rozmówca korzystający z polskiej komórki. Przedstawiłem mu sprawę, skąd mam numer, dlaczego dzwonię i zapytałem co on na to? Mój rozmówca (nazwę go Pan X) – pasażer, który zarezerwował bilet na początek grudnia br. – nie krył oburzenia i ogromnego zdziwienia. Z niedowierzaniem słuchał informacji o sobie, które ja – jako osoba nie mająca nic wspólnego z narodowym przewoźnikiem – czytałem mu ze strony www. Po czym poinformował mnie, że nie zostawi tej sprawy bez reakcji (dziwicie mu się? bo ja nie). Na koniec rozmowy bardzo mi podziękował za informację o tego typu zdarzeniu i był bardzo wdzięczny za załatwienie sprawy w taki sposób.
Kto jest winien?
Na stronie lot.com przeczytać można, że pałeru stronie dodaje Comarch. Domyślam się, że rozwiązania dotyczące rezerwacji biletów mogła jednak dostarczyć inna firma. W rozmowie telefonicznej ze specjalistą ds. PR Polskich Linii Lotniczych LOT S.A. nakreśliłem temat i poprosiłem o wyjaśnienia, bo przecież o oficjalnym stanowisku mowy być nie mogło. Stanęło na tym, bym przesłał listę pytań, na które biuro prasowe postara mi się odpowiedzieć. Sporządziłem listę pytań, pytając m.in. kto jest odpowiedzialny za tak kiepską ochronę danych osobowych, a że to piątek, godzina była późna, to odpowiedzi na pytania mogę spodziewać się dopiero w poniedziałek.
Problemem na nowej stronie lot.com jest alarmująco niski stan bezpieczeństwa danych pasażerów. Dzięki lukom w systemie i błędnie działającej aplikacji możemy poznać informacje, których zapewne wielu z nas nie chciałoby ujawniać. Ciekawi mnie co na to GIODO? Co na to LOT (czekam na ich oświadczenie w tej sprawie)? Najbardziej zabawny w tym wszystkim jest fragment tekstu z tzw. Ochrony Prywatności zamieszczonej na lot.com:
Ochrona prywatności
[...]
Informujemy również, że dane osobowe powierzone PLL LOT S.A. są przetwarzane i chronione zgodnie z normami międzynarodowymi i ustawą z dnia 29.08.1997 r. o ochronie danych osobowych.
O czym należy pamiętać?
1. Żeby podejrzeć i zmienić dane rezerwacji wystarczy mieć konto na stronie lot.com i znać nazwisko oraz numer rezerwacji.
2. Można ominąć pkt.1 i żeby mieć wgląd w listę pasażerów różnych (zapewne losowo dobranych bądź powiązanych kluczem) lotów i dat należy samemu dokonać rezerwacji.
3. Modyfikację rezerwacji dokonujemy nie przez bezpieczne połączenie https tylko protokołem http, który konfigurować możemy wywołując odpowiedni adres w oknie przeglądarki.
Info podesłał … no i właśnie czekam na decyzję informatora czy wyraża zgodę na publikację imienia i nazwiska. ;) Niemniej jednak Jakub Formela – bardzo dziękuję za cynk.
AKTUALIZACJA – 2010.07.27
Oświadczenie rzecznika prasowego PLL LOT, Jacka Balcera:
Uprzejmie informujemy, że dokonaliśmy dogłębnej i trwającej wiele godzin analizy w poniższej sprawie. Wszystko wskazuje na to, że mieliśmy do czynienia z incydentalnym błędem systemu, który objawił się tylko jednemu użytkownikowi – Panu – i to w bardzo szczególnej sytuacji. Na szczęście z żadnego innego źródła nie trafiła do nas podobna informacja. Ani współpracujący z nami Amadeus, ani Comarch nie są w stanie tego błędu odtworzyć. Wszystko wskazuje na to, że usterka więcej się już nie pojawi. Obecnie nadal kontynuujemy jednak intensywne analizy, aby taka sytuacja nigdy więcej się już nie powtórzyła.
Z pełną odpowiedzialnością zapewniamy, że w żadnym wypadku nie można całego zajścia określić “dziurą” czy luką w systemie – jest on szczelny i bezpieczny, pasażerowie mogą z niego korzystać bez obaw.
Poczułem się bezpieczny ;-) Chociaż czy dziś w epoce nk.pl jesteśmy w stanie mówić o jakimkolwiek bezpieczeństwie danych. Smutne jest to że w dobie zwalczania terroryzmu, wstrzymuje się ruch na airportach, a nie dba się o bezpieczeństwo systemu IT. Nikt mi nie wmówi ze to przypadkowa luka, że przecież każdemu może się zdarzyć. NIE. To nie są serwisy społecznościowe, to są potężne systemy, nie projektowała jej jedna osoba, nie administruje jej jeden administrator. Dostęp po http? MADAFAKA ;)
Ciekawe ile Comarch za to złotówek zagarnął.
Błędy takie, że ja bym wypieprzył wszystkich odpowiedzialnych za ten błąd.
Piękne. W normalnym kraju sprawa skończyłaby się pozwem ze strony LOT-u i długimi tłumaczeniami firmy, która tak wybitne dzieło wyprodukowała.
Hehe, Rafi toś odpalił. Petarda dla Ryszarda! ;)
Ad pkt1 – nie trzeba mieć konta na lot.com.
Adres do sprawdzania rezerwacji dostępny jest dla wszystkich:
http://www.lot.com/web/lot/check-your-reservation
Jakub sprawdzałem podczas, gdy byłem zalogowanym. ;)
Pingback: Tweets that mention Ja, RAFi – o mnie i o was » Archiwum » Panie pilocie! Dziura w samolocie! -- Topsy.com
W tej chwili strona LOTu pokazuje jedynie przepiękny błąd 503. Ciekawe.
No i dobrze, że 503. Przynajmniej wyłączyli bubla, zanim stanie się komuś większa krzywda.
To musiała być jakaś chwilówka. W tej chwili strona działa, rezerwacje takoż. Nie wygląda to na jakiekolwiek poprawienie systemu.
Doszły do mnie słuchy, że lot.com nie działał przez ponad 2 godziny. Nie wiem czy dłużej, gdyż kto wstaje w sobotę o 7 rano? Ja na pewno nie. ;)
Na stronie pod logotypem jest: “null” :D
To nie wszystkie błędy tego systemu. Ja wyłapałam kilka już na etapie rejestracji. Po pierwsze wymagane jest pole karta, choć nie jest oznaczone gwiazdką. Ale można to obejść wpisując jakikolwiek numer. Po drugie dostałam informację, że jestem zarejestrowana i dostanę e-mail potwierdzający rejestrację. E-mail nigdy nie przyszedł, a gdy próbowałam się zalogować wyskakiwał błąd: konto nieaktywne. W ten sposób LOT posiada moje dane bez możliwości zmiany ich przeze mnie, a to zdaje mi się jest niezgodne z prawem. Cała strona LOT to jedna wielka Żenada od paskudnej grafiki po brak geolokacji.
JA WSTAJĘ! Tak, nie działało o 7 rano kiedy na nią próbowałem wejść: pokazywała 404 i jakieś śmieci z apacza, po kilkunastu minutach zmieniło się na 503 i tak już trwało przynajmniej do 9 (potem nie zaglądałem).
BTW, warto tego bubla porównać z wciąż działającą pod adresem http://agentlot.com starą wersją strony (ona była dostępna gdy lot.com leżał) – ciekawe czy w niej też były takie babole.
Pingback: Anonymous
To ja dodam tyle, że nadal można przeglądać zamówienia, zmieniać ich opcje oraz adresy i numery kontaktowe kontaktowe osób rezerwujących.
Oż w mordę! Ja mam lot Lotem w piątek! Może wybiła moja godzina , pozwę ich i dostanę fortunę!
No patrzcie, nawet mogę anulować ubezpieczenie lotu, które pewna pani wykupiła sobie na przyszłotygodniowy lot z Wrocławia do Warszawy.
Tak sobie pomyślałem, miałem lecieć innym przewoźnikiem ale tamten lot odwołano, a mój dotychczasowy przewoźnik przerzucił mnie na Lot. Ja za ten bilet nie płace, płaci za niego przewoźnik który odwołał lot na który miałem rezerwację może przebiję se na I klasę?
System rezerwacji na lot.com to popularny wśród lotniczych przewoźników system Altéa oferowany przez firmę Amadeus: http://www.amadeus.com/airlines/airlines.html
W tej sytuacji wykazane luki dotyczą nie tylko lot.com ale również innych (na obecną chwilę kilkunastu: http://www.amadeus.com/pl/x159604.html) przewoźników, np.: British Airways, Finnair, Saudi Arabian Airlines.
Hm, ale żeby cokolwiek komukolwiek zmienic to trzeba miec jego nazwisko i numer rezerwacji (dobrze widze?). Majac te dane, wcale nie potrzebujemy strony internetowej, zeby komus namieszac w bilecie, bo wystarczy tel. na infolinie.
igH, no tak, ale te dane _SAME_ wyświetliły się w sekcji MOJE REZERWACJE, po dokonaniu przeze mnie rezerwacji [PATRZ OBRAZEK ZRZUT EKRANU PIERWSZY OD LEWEJ]. W “MOJE REZERWACJE” widzę rezerwacje innych osób.
Sądziłem, że jasno opisałem przypadek wycieku danych.
Rafi: ten element gdzie pojawily sie dane byl dla mnie przynajmniej troche niejasny, ale juz rozumiem, jak dotarles do listy pasazerow. Teraz warto byłoby potwierdzić, czy tylko Ty masz w “moje rezerwacje” widok na numery i nazwiska “roznych/losowych pasażerów”, czy kazdy podrozujacy (roznica pomiedzy bledem w kontroli dostepu do funkcji, a prawami dostepu do calosci systemu).
Jesli mozesz podeslij mi prosze jakis nr. rezerwacji i nazwisko przykladowego pasazera. Ofc, Ty albo ktokolwiek inny, kto przeczyta ta wiadomosc — tak, zebym nie wiedzial od kogo dostalem i mogl sie wszystkiego wyprzec w sadzie w razie czego ;-) Z checia sprobuje z tego wyciagnac wiecej informacji dot. tego systemu i upolowac przyczyne bledu.
Drobna uwaga techniczna:
‘sic’ nie używa się do podkreślenia absurdalności jakiegoś zdania, ale dla upewnienia czytelnika że cytat lub liczba jest poprawnie napisana.
Na przykład:
“przejechali 100000 (sic) kilometrów”
“ich adres to powarzna-firma.pl (sic)”
a jaka jest optymalizaca SEO tej nowej badziewnej strony.. zeby w tym wieku, za taka kase, takim stronom ktos robil takie gowniane uslugi? Nie dziwi mnie to po tym co opisuje na swooim blogu jesli chodzi o “profesjonalizm” polskich agencji…
@Rafi: To tylko dwie rzeczy (pomijając całkowicie wpadkę LOTu):
1. Takie rzeczy lepiej zgłosić firmie (Responsible Disclosure) i jeśli bardzo chcesz to dać im określony czas na reakcję. W innym wypadku możesz zaszkodzić wielu osobom robiąc tzw. Full Disclosure. Chociaż tu od zawsze trwa dyskusja jakie podejście jest lepsze RD czy FD.
O rodzajach podejścia (choć może bardziej w kontekście ujawniania dziur w oprogramowaniu, a nie stronach) pisałem też trochę u siebie: http://ewangelista.it/archive/2010/06/11/ujawnianie-informacji-o-lukach-bezpiecze-stwa.aspx
2. Dostajesz się do systemu i danych, które nie były przeznaczone dla Ciebie (nawet jeśli jest to z winy producenta/operatora/itp.), a z tego co pamiętam to w polskim prawie takie coś może być uznane za włamanie się do systemu komputerowego (i było to chyba nie raz już wykorzystane w sądzie).
I tak jak mówiłem – abstrahuje całkowicie od tego, że faktycznie takie dziury wołają o pomstę do nieba!
Mariusz
Ad.1
Jestem w kontakcie i po rozmowie z działem IT PLL LOT. Nikt, a tym bardziej szef dzialu nie miał do mnie pretensji z faktu ujawnienia dziur w systemie (jak podejrzewają Amadeusie). :)
Ad.2
Ależ ja się nie dostaję do ich systemu. Te dane, samoczynnie są mi serwowane w moich rezerwacjach. Co innego jakbym tam grzebał, wyciągał dane, implikował, resetował itd., ale ja się na tym nie znam. ;)
czy zostało już potwierdzone, że dostęp do tych danych ma każdy user, czy Twój przypadek był z jakiegoś powodu szczególny?
leciałem lotem kilka tygodni temu i nawet sprawdzałem swoją rezerwację – pewien jestem, że nie widziałem takiej listy.
‘pałeru stronie dodaje Comarch. ”
a tatuś zleca synkowi
http://www.[CIACH]
firmie która nie jest w stanie na dziś pozyskać żadnego klienta z zwnątrz poza
zleceniami od comarcha
tata zafundozwał dziecku zabawki bo chciało zostać właścicielem firmy i teraz dokłada do biznesu synka jak i biznesu córki która ma również inną firmę powiązaną tylko z comarch
Zanim ukrzyżujecie kogoś, w szczególności Comarch to zwróćcie uwagę że opisany przypadek jest z grudnia 2009 jeżeli dobrze zrozumiałem. A system Comarch-u, którego elementem jest portal został uruchomiony w czerwcu 2010.
Osoby znające branżę lotnicza wiedzą, kto dostarcza systemy rezerwacyjne. W przypadku StarAlliance do którego należy LOT to jest Amadeus (dostarczany przez Lufthanse). Czyli w 100% niemiecka technologia i wiedza ….
pilot wycinam linka do agencji, która nie jest autorem strony lot.com. Swoje prywatne sprawy załatwiaj sam, chyba że odwagi starcza Tobie tylko na anonimowe pisanie komentarzy.
Mlynus czytaj ze zrozumieniem, proszę.
1. Opisany przypadek jest przypadkiem z piątku zeszłego tygodnia – (23 lipca 2010).
2. Nikt nie zamierza krzyżować Comarchu.
Pingback: » Błąd w systemie rezerwacji biletów LOT.pl -- Niebezpiecznik.pl --
Według niebezpiecznika chyba jest to burza w szklance wody.
Chociaż nawet tak jednostkowe incydenty nie powinny mieć miejsca.
Dodałem aktualizację z oświadczeniem biura prasowego PLL LOT, które otrzymałem wczoraj wieczorem.
K.M. może burza w szklance wody, ale z pewnością takich akcji nie powinno w ogóle być. :)
RAFi, jakoś tak misie skojarzyło, chociaż rysunek dotyczy (rzecz jasna) czegoś innego :)
http://wiadomosci.onet.pl/182503,21,0,0,1,pokaz.html