19:41
9/5/2017

Jeśli w ostatnich tygodniach lecieliście węgierskimi liniami WizzAir, to Wasz bilet (razem z waszym adresem zamieszkania, numerem telefonu i e-mailem) mógł zostać pobrany przez przypadkowe osoby. Linie miały bowiem kilkudniową “awarię” serwisu, która powodowała, że w tym czasie pasażerom wyświetlały nie tylko się szczegóły cudzych rezerwacji, ale także pełne listy pasażerów poszczególnych lotów. Przy okazji wyszło na jaw, że informacje o rezerwacjach można pobrać bez logowania, a ich adresy mają przewidywalną postać…

Awaria i rezerwacje “na widoku”

Sprawę zgłosiło nam kilku Czytelników, którzy w końcówce kwietnia i przez weekend majowy korzystali ze stron WizzAir w celu dokonania odprawy albo sprawdzenia statusu swojej rezerwacji. Te osoby logowały się na swoje konta, ale oprócz swoich danych, widziały dane innych pasażerów. Oto informacja z 1 maja od jednego z Czytelników:

gdy dokonałem własnej odprawy online (wpisując nazwisko oraz numer rezerwacji ręcznie) i przeszedłem z powrotem do listy swoich rezerwacji, oczom mym ukazała się lista lotów z zupełnie nieznanymi mi nazwiskami. Każdą z rezerwacji jestem w stanie otworzyć, zdaje się, że również edytowAć (oczywiście nie próbowałem, ale przyciski do zmiany danych odprawy, zmiany miejsca, etc.) zdają się działać. Nie wiem czy bug występuje jedynie na moim, czy na wszystkich kontach, ale niepokój wzbudza sam fakt, że dane rezerwacyjne widoczne są na dowolnym komputerze po otwarciu linka (bez konieczności logowania). Kilka przykładowych:

https://wizzair.com/pl-pl/itinerary#W9U1VM/XXX
https://wizzair.com/pl-pl/itinerary#XXX/FERNANDES%20MARTINHO

Co więcej, na każdej z przykładowych rezerwacji można podejrzeć nie tylko szczegóły lotu, ale również dane osobowe pasażera (dół strony “DANE KONTAKTOWE”) wraz z adresem i numerem telefonu – chyba coś jest jednak z tym nie w porządku.

Problem zgłosiłem mailowo do wizzair kilka dni temu, ale do dnia dzisiejszego nie otrzymałem odpowiedzi, w systemie również nic się nie zmieniło.

Oto przykładowa rezerwacja dla Pana Arkadiusza i jego towarzyszki (prawdopodobnie żony).

Można nie tylko dowiedzieć się gdzie lecieli państwo P., ale także poznać dane kontaktowe Pana P. klikając w odpowiedni link.

Widzieliśmy więcej podobnych rezerwacji. Mogliśmy się z tego dowiedzieć, że pewien Pan G. odbył podróż z Panią L, a inna Pani L. wybrała się na majówkę z Panem H. i dokładnie wiemy kiedy tam wyruszyli i kiedy wracali.

Być może jest to informacja nieistotna, a może właśnie komuś będzie bardzo potrzebna do sprawy rozwodowej? Kto to może wiedzieć? Służby lubią takie “metadane” i jak ujawnił Snowden, chętnie je kolekcjonują i często z nich korzystają. O ile cel i konieczność dostępu służb do tego typu informacji można zrozumieć, to pewne jest tylko to, że takie informacje nie powinny być ot tak dostępne dla każdego posiadacza przeglądarki internetowej, który kiedyś kupił bilet w Wizzair i po prostu loguje się na swoje konto w serwisie internetowym linii.

Dodatkowo, jak widzicie, linki do podglądu rezerwacji mają postać:

https://wizzair.com/pl-pl/itinerary#XXXXXX/NAZWISKO

Gdzie XXXXXX to kod rezerwacji. Nie jest to zaskoczenie, dla osób które czytały nasz styczniowy artykuł poświęcony lotniczym systemom GDS — to przestarzałe oprogramowanie do zarządzania rezerwacjami jest bardzo podatne na ataki typu bruteforce na numery rezerwacji i nie wspiera dodatkowych form uwierzytelnienia (stawia na “prostotę”).

Co na to WizzAir?

Linia lotnicza może być częściowo świadoma problemu ponieważ nasi czytelnicy 6 maja przestali widzieć na swoich kontach cudze loty. Nam niestety do tej pory Wizzair nie odpowiedział na zadane pytania dotyczące powodu takiego stanu rzeczy. W imieniu linii uzyskaliśmy jedynie odpowiedź od obsługującej ją firmy PR, która poinformowała, że nasze pytania zostaną przekazane przewoźnikowi, a ten powinien wkrótce nam odpowiedzieć.

Tu warto podkreślić, że choć pasażerowie widzą już po logowaniu swoje, a nie cudze rezerwacje, to te “cudze” które wcześniej widzieli na stronie, dalej są (bez konieczności logowania) dostępne dla nich i nie tylko dla nich. I tego raczej, z racji sposobu działania systemów GDS, zmienić się nie da, bo jest to de facto przykry standard u wielu przewoźników. Ale naszym (i nie tylko naszym) zdaniem nie powinno tak być — choćby dlatego, że ludzie często bez zniszczenia wyrzucają swoje stare bilety, a niekiedy dane pozwalające “wejść” w rezerwację znajdują się na nalepkach na bagażu. Mówiąc wprost — wystarczy rozejrzeć się po lotnisku, aby komuś namieszać w rezerwacji — anulować lot powrotny, albo zamienić posiłek na wegetariański, czy zamówić asystę psa przewodnika.

Co na to prawo?

W tej sprawie dodatkowo o komentarz poprosiliśmy AirHelp – firmę specjalizującą się w uzyskiwaniu odszkodowań od linii lotniczych m.in. za opóźnione odloty. Udzieliła nam go Magdalena Bursa-Łapińska, starszy radca prawny Air Help.

W przeciwieństwie do odszkodowań np. za opóźnienie czy odwołanie lotu, gdzie rozporządzenie WE 216/2004 precyzyjnie reguluje warunki odszkodowań, w tym przypadku przewoźnik może nie tylko ponosić odpowiedzialność cywilną względem pasażera, ale przede wszystkim karną.

Przepisy ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz.U. z 2016 r., poz. 922 t.j. z dnia 28 czerwca 2016 r.) przewidują, że osoba, która przetwarza dane osobowe, choć nie jest do tego uprawniona, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Dalej, kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Kary są niższe w przypadku gdy działanie jest nieumyślnie.

Należy również zwrócić uwagę, że dane osobowe należą do tzw. dóbr osobistych. Z tych przyczyn, istnieje możliwość poszukiwania odpowiedzialności po stronie przewoźnika na podstawie przepisów kodeksu cywilnego. Art. 24 kc stanowi bowiem, że ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. W razie dokonanego naruszenia może on także żądać, ażeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności ażeby złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie. Na zasadach przewidzianych w kodeksie może on również żądać zadośćuczynienia pieniężnego lub zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny. Jeżeli wskutek naruszenia dobra osobistego została wyrządzona szkoda majątkowa, poszkodowany może żądać jej naprawienia na zasadach ogólnych. W razie naruszenia dobra osobistego sąd może przyznać temu, czyje dobro osobiste zostało naruszone, odpowiednią sumę tytułem zadośćuczynienia pieniężnego za doznaną krzywdę lub na jego żądanie zasądzić odpowiednią sumę pieniężną na wskazany przez niego cel społeczny, niezależnie od innych środków potrzebnych do usunięcia skutków naruszenia (art. 448 kc).

Leciałem kiedyś WizzAirem — co robić, jak żyć?

Podsumowując, jeśli korzystaliście z WizzAir, to ktoś mógł poznać Wasz adres zamieszkania, adres e-mail i numer telefonu oraz dane współpasażerów razem z portami startowym i docelowym. Ponieważ WizzAir nie odpowiedział na nasze pytania, nie wiemy tak naprawdę z jakiego okresu dane będące w posiadaniu linii były zaczytywane i prezentowane przypadkowym osobom w ramach serwisu internetowego tej linii. Jeśli czujecie, że problem Was dotyczy (ktoś z egzotycznych krajów od kilku dni do Was wydzwania albo wysyła bukiety kwiatów pod drzwi) — AirHelp w swoim oświadczeniu powyżej zasugerował, co możecie zrobić.

Cóż, żyjemy w czasach, w których trzeba się przyzwyczaić do ryzyka utraty prywatności na skutek “błędu programistycznego” i nie dotyczy to tylko linii lotniczych (por. Uwaga klienci mBanku, wasze saldo było udostępniane zewnętrznej firmie!). Gorzej, jeśli ten błąd wygeneruje konkretne, odczuwalne szkody…

Bo ta awaria jest chyba najciekawsza dla tych z Was, którzy lecieli z WizzAirem i w ostatnich tygodniach mogli doświadczyć tajemniczego anulowania biletu powrotnego lub innych zmian w rezerwacji, których sami nie wprowadzali. Może ktoś został na lotnisku, bo “system nie ma Pana rezerwacji i co nam Pan zrobi”? Może ktoś musiał dopłacić za bagaż? W takim wypadku miejcie świadomość, że nieautoryzowana zmiana w Waszej rezerwacji była możliwa (i wszystko wskazuje na to, że w zasadzie przez każdego z klientów linii, który logował się na stronę). W tej sytuacji domagajcie się szczegółowego zbadania sprawy przez linie lotnicze.

Aktualizacja 10 maja 2017
WizzAir ma problem nie tylko z ujawnianiem danych swoich klientów. Jak poinformował nas jeden z czytelników, kilka dni temu WizzAir ujawnił ok. 1000 adresów e-mail uczestników jednego ze konkursów, którego jest organizatorem: Youth Challenge, dot. budowy strategii marketingowej marki skierowanej do generacji Y i Z.

Aktualizacja 10 maja 2017, 14:00
Otrzymaliśmy wyjaśnienia z Wizz Tours:

Wizz Tours potwierdza, że w wyniku aktualizacji strony internetowej WIZZ pod koniec kwietnia, niektóre dane pasażerów Wizz Tours były dostępne przez ograniczony czas dla innych klientów Wizz Tours. Obecnie podjęto działania mające na celu wyjaśnienie problemu. Uważamy, że problem ten dotyczył niewielkiej liczby klientów Wizz Tours. Należy podkreślić, że błąd odnosi się wyłącznie do klientów, którzy dokonali rezerwacji dodatkowego zakwaterowania z Wizz Tours, a nie klientów lWizz Air.

Potwierdzamy, że nie były widoczne żadne informacje finansowe. Wizz Tours szczerze przeprasza za ten nieoczekiwany błąd i podkreśla, że zarówno Wizz Air, jak i Wizz Tours bardzo poważnie traktują poufność i bezpieczeństwo informacji o rezerwacjach. Prace zmierzające do naprawy błędu technicznego rozpoczęto natychmiast po otrzymaniu zgłoszenia o zaistniałej sytuacji. Problem został rozwiązany. Obecnie prowadzimy działania mające na celu identyfikację klientów, których mogł dotyczyć błąd. Kontaktujemy się z nimi proaktywnie za pośrednictwem Biura Obsługi Klienta Wizz Air


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

13 komentarzy

Dodaj komentarz
  1. Wizz Air nie korzysta z systemu GDS do dystrybucji biletów – mają własny.

  2. Ja dostałem maila od wizzaira z prośbą o ponowną odprawę. Wygląda na to że zresetowali wszystko żeby jakoś się uratować.

  3. Z ciekawości użyłem danych z najstarszej rezerwacji jaką znalazłem (2010) i spokojnie można podejrzeć dane budując link na zasadzie z artykułu.

  4. Wyobraziłam sobie jak jakiś troll zamawia wszystkim asystę psa przewodnika i lotnisko jest pełne psów :P

  5. Jedno pytanie… Po co Wy w ogóle piszecie do agencji PR? Przecież odpowiedzi wymagacie od przewoźnika, nie od jakiejś “agencji”… No chyba, że ta “agencja” ma odpowiedzialność prawną też w swoim kontrakcie…

    • Mysle ze napisali do Wizzair, a ze ich obsluguje agencja, to ta agencja odpisala ;)

    • Przecież jasno napisali, że w IMIENIU linii odezwała się agencja…
      Czytanie ze zrozumieniem aż tak boli?

  6. Ja bym dzwonił do pasażerów i informował, że lot się nie odbędzie i proponuję późniejszy o 4 godz. Wtedy miałbym cały samolot dla siebie, a przewoźnik stracił kilka mln zł.

    • I naprawdę myślisz, że ten lot z Tobą jednym na pokładzie by się w ogóle odbył?

      Nie mówię o kilku latach odsiadki później — jedynie o samym locie.

  7. ▌▌A ja przypomnę, że właśnie za taką dziurawością w systemach linii lotniczych stał zapewne plan ataku (udany) zamordowania brata wodza Korei Północnej — lotnisko było jedynym miejscem, gdzie można było dzięki temu dokładnie namierzyć „figuranta” w czasie i przestrzeni.

    Dlatego zdecydowano się wykonać zamach nawet mimo zamkniętego obszaru, kamer i służb — dzięki czemu akcja (udana) przynajmniej zakończyła się wpadką bezpośrednich wykonawczyń.

  8. miałem kiedyś problem ze zmiana hasła na wizzair i pani z pomocy technicznej, poprosiła mnie żebym wysłał jej hasło a ona je zmieni :)

  9. Podoba mi się maskowanie danych na rezerwacji… No cóż chyba po prostu zazdroszczę Arkadiuszowi długiego weekendu na Sycylii :-)

  10. Widać na zrzutach, że chodzi o Katanię (Sycylia) – raz zakrywacie destynację, a w innym miejscu nie ;)
    Niestety też jestem klientem WizzAir…

Odpowiadasz na komentarz Tomek

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: