- Исследователь Алекс Шапиро с помощью брутфорса взломал API системы бронирования авиакомпании Avelo и получил доступ к персональным данным пассажиров.
- Отсутствие двухфакторной аутентификации и игнорирование файлов cookie позволили легко подобрать шестизначные коды бронирования, раскрывая значительный объем конфиденциальной информации.
- Уязвимость была выявлена 15 октября 2025 года, спустя месяц после сообщения об ошибке, авиакомпания исправила её 13 ноября.
Исследователь безопасности Алекс Шапиро успешно взломал API системы бронирования авиакомпании Avelo, использовав метод перебора (брутфорс). В результате ему удалось получить данные случайных пассажиров, включающие личную информацию, контактные данные, платежные реквизиты и детали бронирования.
Как выяснилось, в API Avelo отсутствовала обязательная двухфакторная аутентификация, которая обычно требует известности одновременно номера бронирования и фамилии пассажира. В системе же достаточно было знать только шестизначный код, состоящий из заглавных букв и цифр — всего порядка 2,1 миллиарда возможных комбинаций. При аренде сервера с пропускной способностью по 100 тысяч запросов в секунду перебор всех актуальных кодов занимает около шести часов, при этом стоимость такого сервера примерно равна тысяче долларов.
Еще одной серьёзной ошибкой разработчиков стало игнорирование безопасности файлов cookie. В процессе проверки API не была реализована привязка токена аутентификации к конкретному коду бронирования, что дало возможность использовать любые валидные токены для доступа к чужим данным. Дополнительной защитной мерой служило лишь ограничение на количество запросов в секунду, однако отсутствовали механизмы блокировки подозрительных IP-адресов и капча, что сделало атаку особенно эффективной.
Среди полученной информации оказались не только базовые сведения о пассажирах (имя, дата рождения, пол), но и документы удостоверения личности, контактные данные (телефон, электронная почта), а также детали платежей и внутренние банковские данные. Особенно тревожно, что в числе скомпрометированных пассажиров были представители государственных учреждений США, с почтовыми адресами доменов @dot.gov и @faa.gov.
Уязвимость была обнаружена 15 октября 2025 года, и Алекс Шапиро незамедлительно уведомил об этом службу поддержки авиакомпании. В течение суток специалисты связались с исследователем для уточнения деталей и воспроизведения проблемы. После месячного анализа и работы инженеров, 13 ноября 2025 года уязвимость была устранена.
Случай демонстрирует важность комплексного подхода к безопасности API, включающего надежную систему аутентификации, корректную работу с сессиями и токенами, а также средства защиты от автоматизированных атак. Игнорирование этих аспектов приводит к риску массового раскрытия персональных данных и подрывает доверие клиентов и партнёров.
