Ein URL-Trick können Sie ein fremdes Delta Bordkarte verwenden
Ein BuzzFeed Intern und NYU Senior behauptete kürzlich, Delta papierlose boarding Pass-System gehackt haben, indem Sie nur eine Ziffer in einer URL ändern. "Am Delta, können Sie ändern Sie die URL Ihrer Bordkarte und erhalten Sie ein fremdes Bordkarte" Dani Grant schrieb in einem mittleren Post. "Auch wenn sie auf eine andere Fluggesellschaft." Dies scheint verrückt.
Delta Cyber-Sicherheit wirklich so beschissen sein könnte, dass Optimierungen eine URL Sie Zugang ein fremdes Bordkarte geben? Update: Ja ist es. Delta bestätigt eine Sicherheitslücke in einer Erklärung.
"Nachdem ein mögliches Problem mit unserer mobilen Bordkarten späten Montag entdeckt wurde, unsere IT-Teams stellen Sie schnell eine Lösung im heute Vormittag um es, zu verhindern" Delta-Sprecher Paul Skrbec sagte. "Da unsere allgemeine Untersuchung dieser Frage weiter, gab es keine Auswirkungen auf die Flugsicherheit, und zu diesem Zeitpunkt sind wir nicht bewusst gefährdeten Kunden-Accounts." Die Fluggesellschaft fügte hinzu: "Wir entschuldigen uns für jedes Anliegen, die dadurch entstanden sind."
Wir kontaktierten auch Grant für mehr Details, und schickte sie auf zwei URLs. Die erste war offenbar auf einem 6 November Flug zwischen Los Angeles und San Francisco verwendet. Grant sagte sie eine einzelne Ziffer in der URL geändert und sah ein fremdes-Bordkarte für einen anderen Flug. Es dauert aber ein wenig brutaler Gewalt. "Es ist ein Glück, zahlen," Grant sagte in einer e-Mail. "Nicht jede URL-Zeichenfolge entspricht einer gültigen Bordkarte – wenn Sie Ziffern ändern, halten Sie Sie finden."
Wir haben versucht, die gleiche Sache – Dutzende Male — und es hat nicht funktioniert. BuzzFeed und Mashable sagen, dass sie erfolgreich repliziert die Droschke, obwohl alle die Screenshots sind die gleichen wie diejenigen Grant in ihrer ursprünglichen Nachricht enthalten. Es ist erwähnenswert, dass alle diese Screenshots zeigen boarding-Pässe, die zwischen einer Woche und zwei Monate alt sind. Drückt man zum Beispiel, dass sie Gizmodo gab, sagte der Student, dass die URL "ist abgelaufen."
Es ist auch möglich, dass Delta die Schwachstelle behoben, wenn es zuerst berichtet wurde. (Update: Delta hat genau das getan.) Grant anerkannt als viel. "Eine andere Erklärung ist, dass URLs festgelegt sind, verfallen nach einer bestimmten Zeit, oder irgendeine Art von Bandbreitenbegrenzung — sie ablaufen, wenn zu viele Leute darauf klicken" sagte sie. Außerdem, wer weiß, ob der Trick auf ungenutzten Bordkarten funktioniert.
Denn jetzt ist es wahrscheinlich sicher, sagen, dass etwas nicht mit Delta Online-Bordkarten stimmt. Delta sandte gewähren eine Antwort – siehe unten – wenn sie das Problem an die Fluggesellschaft berichtet, obwohl es ein paar mehr Stunden dauerte um zu bestätigen, dass die Sicherheitsanfälligkeit gepatcht hatte. Trotzdem gehen Sie nicht teilen Ihre Boarding pass URLs mit allen dieser Urlaubssaison. Das ist tatsächlich wahrscheinlich eine gute Regel, egal was passiert.