Hack website hãng hàng không để tìm hành lý bị mất

Do không được hỗ trợ, một lập trình viên đã truy cập website hãng hàng không, tìm lỗ hổng để lấy thông tin người cầm nhầm hành lý lúc xuống sân bay.

Chia sẻ trên trang Twitter cá nhân, kỹ sư phần mềm Nandan Kumar đã tận dụng lỗ hổng trên website của IndiGo, một hãng hàng không giá rẻ tại Ấn Độ để tìm kiếm thông tin hành khách đi chung chuyến bay, giúp anh nhận lại hành lý bị thất lạc.

Trước đó, Kumar đã liên lạc với IndiGo để nhờ giúp đỡ nhưng bị từ chối. Sau khi xuống máy bay, Kumar và một người khác đã cầm nhầm hành lý của nhau. Do 2 chiếc vali có ngoại hình giống hệt, kỹ sư 28 tuổi chỉ phát hiện sai lầm khi trở về nhà.

'Hack' website hang bay de tim hanh ly bi mat anh 1

Vali của Kumar (phải) và người cầm nhầm nhìn rất giống nhau. Ảnh: Nandan Kumar.

Vì đọc được tên hành khách in trên thẻ hành lý, Kumar gọi cho IndiGo để yêu cầu cung cấp thông tin liên lạc nhưng bị từ chối với lý do đảm bảo quyền riêng tư. Do đó, Kumar truy cập website của IndiGo để tìm cách lấy thông tin người cầm nhầm vali.

Sau khi đăng nhập trang web bằng tên khách hàng in trên thẻ hành lý, Kumar tìm cách lấy địa chỉ nhà và số điện thoại. Dù thử nhiều cách như check-in hay truy cập mục chỉnh sửa liên hệ, Kumar không thể tìm ra thông tin của hành khách ấy.

"Sau nhiều lần thất bại, bản năng của một lập trình viên trỗi dậy. Tôi nhấn F12 trên bàn phím máy tính để mở cửa sổ cho lập trình viên trên website của IndiGo, sau đó truy cập vào nhật ký hệ thống", Kumar cho biết.

Bằng cách này, anh tìm thấy số điện thoại của người đã cầm nhầm vali. Sau khi liên lạc, cả 2 đã gặp mặt để trả lại hành lý của nhau.

 

Tuy đã nhận lại hành lý, Kumar cho biết dữ liệu trên hệ thống của IndiGo lẽ ra phải được mã hóa bởi bất cứ ai cũng có thể truy cập. "Rất dễ có mã định danh (PNR) và tên hành khách bởi nhiều người thích chia sẻ thẻ lên máy bay của họ. Bất cứ ai cũng có thể nhìn thấy hành lý, chụp ảnh rồi sử dụng để lấy thông tin cá nhân", Kumar cho biết.

'Hack' website hang bay de tim hanh ly bi mat anh 2

Kumar là kỹ sư phần mềm tại Bangalore (Ấn Độ). Ảnh: Nandan Kumar.

Trả lời BBC, IndiGo cho biết đội ngũ chăm sóc khách hàng đã làm đúng quy trình khi không chia sẻ chi tiết liên lạc của hành khách với một hành khách khác. "Đội ngũ hỗ trợ đã cố gắng tạo điều kiện thuận lợi cho việc đổi hành lý, nhưng không thể hoàn tất do cuộc gọi không được trả lời", đại diện hãng bay cho biết.

Nói về việc thông tin liên lạc của hành khách trên website không được mã hóa, IndiGo cho biết đang "xem xét chi tiết trường hợp này và tuyên bố quy trình công nghệ thông tin của chúng tôi hoàn toàn tốt".

(Theo Zing)

Hacker cuỗm 50 triệu USD tiền ảo rồi yêu cầu nạn nhân đăng ký nhận lại

Hacker cuỗm 50 triệu USD tiền ảo rồi yêu cầu nạn nhân đăng ký nhận lại

Sau khi đánh cắp số mã hoá thông báo Cashio trị giá khoảng 50 triệu USD, nhóm hacker nói rằng sẽ hoàn trả 1 phần tiền trộm được, vì chúng chỉ “lấy của người giàu”.

Chủ đề : hackhack website
 
List comment
 

Các chuyên gia góp mặt tại hội thảo trực tuyến do VNCERT/CC tổ chức đều chung nhận định quy trình phát triển phần mềm an toàn SecDevOps chính là “chìa khóa” giúp các tổ chức, doanh nghiệp đảm bảo an toàn trong kỷ nguyên số.  

 

Theo Cục An toàn thông tin, Bộ TT&TT, Microsoft vẫn chưa phát hành bản vá cho lỗ hổng Follina trong Microsoft Support Diagnostic Tool. Trong khi đó, mã khai thác của lỗ hổng này đã được công bố trên Internet.

 

Để kiểm tra xem 1 website có chứa nội dung phù hợp với trẻ em hay không, người dân có thể sử dụng công cụ “Kiểm tra website an toàn với trẻ” tại trang vn-cop.vn của Mạng lưới ứng cứu, bảo vệ trẻ em trên môi trường mạng.

 

Cuộc thi tấn công mạng hàng đầu thế giới Pwn2Own Vancouver 2022 vừa công bố hai cao thủ bảo mật thuộc Công ty An ninh mạng Viettel (Viettel Cyber Security) đã giành chiến thắng.

 

Một thám tử tư Israel đang bị giam giữ tại Mỹ, đã sử dụng các hacker Ấn Độ để thực hiện các hoạt động giám sát mạng cho giới siêu giàu Nga.

 
 

Kênh YouTube FapTV bị hacker chiếm quyền điều khiển, đổi tên thành Tesla US và đăng tải video cùng đường link lạ để dẫn dụ người dùng.

Theo một báo cáo, thông tin cá nhân và hoạt động trên mạng của hàng triệu học sinh tham gia học trực tuyến trong dịch Covid-19 đã bị theo dõi và bán cho bên thứ ba mà không hề hay biết.  

Theo khuyến nghị của Cục An toàn thông tin, người dân có thể nâng cao kiến thức và mức độ nhận diện để tránh trở thành nạn nhân của các cuộc gọi lừa đảo bằng việc xem các video kể về quá trình bị lừa đảo của một số YouTuber.

Dù doanh nghiệp của bạn được bảo vệ kín kẽ nhưng vẫn có nguy cơ bị tấn công từ lỗ hổng bảo mật của… doanh nghiệp khác.  

Một báo cáo an ninh mạng gần đây cho thấy nhiều CEO và chủ doanh nghiệp có thể ngu ngốc đến mức nào khi đặt mật khẩu cho các hệ thống và tệp tin quan trọng.

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123