17 января 2012 г.

Уязвимость в системе FrequentLine

FrequentLine — система повышения лояльности клиентов авиакомпаний.

Аутентификация пользователей производится на основании пары: номер карты + пин-код.

Номера карты размером в 13 цифр генерируются по алгоритму Луна, с большой долей вероятности последовательно.

Уязвимость заключается в реализации системы восстановления пароля. Если к номеру привязан адрес электронной почты (что истинно скорее для 90% номеров), то восстановление осуществляется при введении номера карты, путем отправки нового пароля. Пароль одинаковый для всех пользователей.

Страница пользователя содержит — персональные данные (в том числе паспортные), информацию о перелетах.

Все естественно лишь догадки автора, публикуется для информации.

Комментариев нет:

Отправить комментарий