安全研究员Randy Westergren表示美国联合航空公司大约花了半年的时间才修复了一个严重的漏洞问题。攻击者可利用这个漏洞访问客户信息并管理航班预定。
在联合航空发布漏洞奖励计划后两周,软件开发人员兼安全研究员Westergren就开始分析由航空公司发布的移动app请求。他发现只要更改其中的一个参数mpNumber(很可能代表里程数)就能允许攻击者访问别人的里程积分账户。
这种类型的漏洞被称为直接引用非安全对象(IDOR),攻击者只通过更改这个app向服务器所发送请求中的参数值就能轻松利用该漏洞。安全研究人员经过测试后发现,这个漏洞会导致许多个人信息被泄露,包括客户姓名和一个名为recordLocator参数的值。这两种信息允许攻击者访问用户的预定计划并修改或取消他们的航班。航班预定信息包括航班起飞及降落时间、支付信息包括支付方式和信用卡号的后四位数字。
这个漏洞是在5月27日报告给美国联合航空公司的,但公司在7月13日通知该专家称这个问题与别人重复了。然而,Westergren表示航空公司在11月中旬才修复了其中的一个漏洞,而且在他说明将要公开这个问题之后且有记者联系该公司之后才修复。美国联合航空公司认为出现这种情况的原因是公司收到了太多的漏洞报告。
美国联合航空公司在今年5月份发布了漏洞奖励计划,并以里程数奖励发现漏洞的黑客。其中有一名黑客凭借发现了一个重要的远程代码执行漏洞而获得了100万里免费里程数,大约相当于2.5万美元。