9:14
27/7/2010

Przed weekendem, jeden z internautów opublikował na swoim blogu informacje o “wycieku danych osobowych” i “dziurze” w systemie rezerwacji biletów na stronie LOT.pl. Sprawdziliśmy, “dziury” nie było, ale opisany przypadek to ciekawy, choć niemożliwy do odtworzenia błąd. Poniżej opis błędu i wyjaśnienia rzecznika LOT-u.

System rezerwacji LOT-u świruje

Osobliwy błąd polegał na wyświetleniu na stronie lot.pl w zakładce “Moje rezerwacje” nie tylko własnej rezerwacji, ale i kilkunastu innych rezerwacji przypadkowych osób (nie byli to pasażerowie z jednego samolotu). Dzięki temu, można było poznać m.in. nr lotu, nr rezerwacji, nr e-biletu, nr i serie karty stałego pasażera LOT-u, nr telefonu, adres e-mail przypadkowych klientów LOT-u.

Wiele (nie swoich) rezerwacji, zmiast jednej (własnej)

Ale to nie wszystko, rezerwacje innych osób można było modyfikować, zmieniając np. nr miejsca, dodając usługi płatne, albo zamawiając eskortę pracownika lotniska lub psa przewodnika (dla pasażerów typu “osoba niepełnosprawna/niewidoma/niesłysząca”).

To nie dziura, to przypadkowy, pojedynczy błąd

Z całą “wielką dziurą” jest tylko jeden problem… Ukazała się ona wyłacznie jednej (dwóm?) osobom. Na błąd natknął się Jakub Formela, który obwieścił go światu poprzez blog Rafała Krawczyka (a ten z kolei potwierdził i zilustrował błąd).

Screenshoty dostępne na stronie blogera nie zawierają URL-i

Niestety, nam nie udało się zreplikować błędu, a zrzuty ekranu udostępnione przez blogera nie zawierają adresów URL — ciężko więc osądzić, czy system rezerwacji w międzyczasie się zmienił (np. LOT usunął &admin_mode=TRUE :>), czy chodzi o klasyczny błąd w kontroli dostępu do funkcji, czy może w momencie wykrycia przez Jakuba błędu, zespół programistów pracował “na żywym organizmie” i pomylił się przy konstruowaniu zapytania do bazy danych w którymś z SELECT-ów? A może system generowania numerów rezerwacji się rozjechał i do jednego ID przywiązał kilkanaście różnych numerów rezerwacji?

Wyjaśnienia LOT-u

O wyjaśnienia poprosiliśmy rzecznika prasowego LOT-u, Jacka Balcera:

Uprzejmie informujemy, że dokonaliśmy dogłębnej i trwającej wiele godzin inwestygacji w poniższej sprawie. Wszystko wskazuje na to, że mieliśmy do czynienia z incydentalnym błędem systemu, który objawił się tylko jednemu użytkownikowi i to w bardzo szczególnej sytuacji. Na szczęście z żadnego innego źródła nie trafiła do nas podobna informacja. Ani współpracujący z nami Amadeus, ani Comarch nie są w stanie tego błędu odtworzyć. Wszystko wskazuje na to, że usterka więcej się już nie pojawi.

Obecnie nadal kontynuujemy jednak intensywne analizy, uwzględniając nawet osobisty kontakt z osobą, która doszukała się usterki. Błąd na szczęście nie powtórzył się już również u niej.

Z pełną odpowiedzialnością zapewniamy, że w żadnym wypadku nie można całego zajścia określić “dziurą” czy luką w systemie — jest on szczelny i bezpieczny, pasażerowie mogą z niego korzystać bez obaw.

Szkoda, że nie dowiemy się, jaką to “bardzo szczególną sytuację” przeprowadzona przez LOT “inwestygacja” wykryła. Może LOT, podobnie jak Facebook ma konto “administratora systemu” i na skutek złego regexpa, każdy kto nazywa się “.*formela.*” z defaulta dostaje uprawnienia admina i może edytować wszystkie rezerwacje? :-)

Wspominany przez rzecznika Amadeus, to system rezerwacji biletów, z którego korzysta m.in. LOT, a COMARCH zapewne podjął się jego wdrożenia. Coś mi się jednak wydaje, że jakby tak mocniej przyjrzeć się temu Amadeusowi, to… :)

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

12 komentarzy

Dodaj komentarz
  1. Kiedyś Ryanair miał promocję polegającą na tym, że jak się kupi jeden(chyba troszkę drożej) bilet to przekierowuje cię do strony na której możesz kupić drugi za max 6zł(w obydwie strony).

    Okazało się, że kilka tysięcy polaków wchodziło na tą drugą stronę od razu i tak sobie latali.
    Najlepsze, było jak ktoś opisał, że więcej zapłacił w obydwie strony za miejski niż za lot do Hiszpanii.

    BTW:
    Szkoda, że język polski zmienia się w angielsko-podobny zamiast w angielski.

    • zzz1986: Pamiętam tę promocję Ryana. To było ukartowane — oni często tak robią, bo media łatwo łykają takie kąski ;-) por. panie do towarzystwa w samolocie oraz miejsca stojące. To AFAIR też pomysły Ryana na tzw. press coverage ;)

  2. Coś w tym jest. Moja żona płaciła w piątek wieczorem za bilety przez stronę lotu. W sobotę rano chcieliśmy sprawdzić czy są jeszcze miejsca na konkretny dzień i dokupić bilet. Niestety strona po wypełnieniu wszystkich danych nie wyświetlała wyników. Próbowałem z trzech przeglądarek ( FF, Chrome, Safari). Żadna z 3 nie pokazała wyniku, strona “wieszała” sie po naciśnięciu “szukaj”.

  3. inwestygacja… cóż za słowo, takie nowoczesne, poważne i budujące wizerunek

    coś mi się jednak wydaje, że system był przerabiany “w locie” i chłopaki coś nababrali przez moment, ktoś na to trafił i się wydało, inaczej nie da się tego wytłumaczyć

  4. Co do inwestygacji, to wcale nie takie nowoczesne to słowo i nie z “ponglish” – wg słowników wręcz dawne:

    http://sjp.pwn.pl/slownik/2561943/inwestygacja
    http://www.sjp.pl/co/inwestygacja

    Czyli staropolszczyzną zajechało ;)

  5. @Piotr Konieczny
    To, że to było ukartowane to nawet jakiś ich przedstawiciel powiedział, i zapowiedział, że będą kolejne takie akcje.

    Wracając do pań do towarzystwa to miałby być one tylko w najdroższej klasie i tylko BJ.

  6. LOL, nie ma czegos takiego jak “jednorazowa” dziura :) bez zartow. Wystarczy napisac zle aplikacje na watkach i blad bedzie sie objawial w baaardzo losowy sposob.

  7. bo to była dziura w locie ;)

  8. Może ktoś do session bean-a dopisał statyczne pole i przy rzadkiej sytuacji (odpowiednie obciążenie + łut szczęścia) można było zobaczyć więcej, niż się zamierzało ]:->

  9. Nie wiedzą co spowodowało błąd, nic nie naprawili, ale błąd się więcej nie pojawi? Ciekawe. A odnośnie inwestygacji – ostatnio to słowo ciśnie mi się często na usta, choć nie wiem gdzie to usłyszałem, nie wiedziałem nawet, że takie coś istnieje :P

  10. Spokojna wasza szanowna panowie :)
    Z dobrze poinformowanego źródła wiem, że LOT zna tego bug-a bardzo dokładnie.
    Odpowiednie RFC zostały już zrealizowane zarówno u dostawcy systemu rezerwacyjnego (Amadeus) jak i integratora e-commerce (Comarch). Ten byk nie powinien już powrócić.
    A skoro pożar ugaszony to teraz zapewne rozpocznie się szukanie winnych, ale to już moja osobista spekulacja.

  11. Nawet dziś na nowej stronie pojawia się ciągle komunikat o błędzie: Dla wprowadzonej daty nie znaleziono odpowiednich połączeń. Prosimy zmienić kryteria wyszukiwania i spróbować ponownie

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: