FrequentLine — система повышения лояльности клиентов авиакомпаний.
Аутентификация пользователей производится на основании пары: номер карты + пин-код.
Номера карты размером в 13 цифр генерируются по алгоритму Луна, с большой долей вероятности последовательно.
Уязвимость заключается в реализации системы восстановления пароля. Если к номеру привязан адрес электронной почты (что истинно скорее для 90% номеров), то восстановление осуществляется при введении номера карты, путем отправки нового пароля. Пароль одинаковый для всех пользователей.
Страница пользователя содержит — персональные данные (в том числе паспортные), информацию о перелетах.
Все естественно лишь догадки автора, публикуется для информации.
Комментариев нет:
Отправить комментарий