Индиец нашёл контакты другого пассажира, чемодан которого по ошибке забрал после рейса, — и большую дыру в безопасности — на сайте авиаперевозчика.
Нандан Кумар летел местным лоукостером IndiGo. Уже придя домой, он понял, что забрал с конвейера чужой чемодан — почти один в один, как у него самого. Он вернулся в аэропорт, но к тому времени его чемодана там уже не было.
На багажной бирке был код бронирования, и Кумар позвонил в компанию, чтобы спросить, кто владелец подхваченного им багажа. Там называть его отказались, сославшись на политику конфиденциальности и обработки персональных данных, но пообещали перезвонить, когда свяжутся с ним. Поддержка пыталась дозвониться до второго пассажира несколько раз, но он не поднимал трубку.
Ответного звонка Кумару тоже так и не поступило, и на следующий день 28-летний разработчик решил взять всё в свои руки. Сначала он попробовал узнать адрес или номер второго пассажира по коду через сайт — через систему чек-ина, отредактировать бронирование и изменить контакты.
Эти способы не сработали, и тогда он заглянул в консоль разработчика в браузере на сайте IndiGo. В логах нашёлся телефон второго пассажира. Кумар встретился с ним и поменялся чемоданами.
Кумар отмечает, что такие пользовательские данные должны быть зашифрованы, а не храниться в свободном доступе для всех желающих: так кто угодно может, например, сфотографировать бирку на сумке в аэропорту и без труда получить информацию о владельце.
В IndiGo изданию заявили, что изучают ситуацию, сайт скомпрометирован не был, а все ИТ-процессы у них в норме.
Нандан Кумар летел местным лоукостером IndiGo. Уже придя домой, он понял, что забрал с конвейера чужой чемодан — почти один в один, как у него самого. Он вернулся в аэропорт, но к тому времени его чемодана там уже не было.
На багажной бирке был код бронирования, и Кумар позвонил в компанию, чтобы спросить, кто владелец подхваченного им багажа. Там называть его отказались, сославшись на политику конфиденциальности и обработки персональных данных, но пообещали перезвонить, когда свяжутся с ним. Поддержка пыталась дозвониться до второго пассажира несколько раз, но он не поднимал трубку.
Ответного звонка Кумару тоже так и не поступило, и на следующий день 28-летний разработчик решил взять всё в свои руки. Сначала он попробовал узнать адрес или номер второго пассажира по коду через сайт — через систему чек-ина, отредактировать бронирование и изменить контакты.
Эти способы не сработали, и тогда он заглянул в консоль разработчика в браузере на сайте IndiGo. В логах нашёлся телефон второго пассажира. Кумар встретился с ним и поменялся чемоданами.
Кумар отмечает, что такие пользовательские данные должны быть зашифрованы, а не храниться в свободном доступе для всех желающих: так кто угодно может, например, сфотографировать бирку на сумке в аэропорту и без труда получить информацию о владельце.
В IndiGo изданию заявили, что изучают ситуацию, сайт скомпрометирован не был, а все ИТ-процессы у них в норме.
