Немецко-французская кампания Interrail потерпела фиаско по защите данных › <>

С так называемым «пропуск дружбыГермания и Франция раздали по 30 000 бесплатных билетов Interrail на поезда для молодых людей в возрасте от 18 до 27 лет. За кулисами многое шло не так, и онлайн-система выдачи билетов выявила ряд слабых мест при ближайшем рассмотрении. В связи с этим даже стало известно, что регистрационные данные 245 000 участников аналогичного проекта ЕС до этих выходных были незащищены в Интернете.

Эксперты по безопасности в исследование издано, которые изначально интересовались технологией, на которой основана кампания Interrail, главным образом потому, что она потерпела неудачу классическим способом при выдаче билетов. Сервера регистрации были полностью перегружены на старте в прошлый понедельник.

Проходы все еще доступны через черный ход

Первое, что выяснилось в связи с тикетной кампанией, это то, что функция предложения «Забыли пароль» не работала и что злоумышленники могли легко создать фишинговый бэкдор для сбора данных пользователей таким образом.

Об этом факте команда хакеров также сообщила сразу же, только для того, чтобы тут же найти способ получить один из бесплатных проездных Interrail, даже если, по данным официального сайта, они уже давно заняты.

Все пропуска розданы! Напоминаем, регистрация проходила в порядке живой очереди. После регистрации вы вскоре получите электронное письмо с подтверждением. Спасибо за проявленный интерес и терпение.

Хотя вышеприведенное сообщение было отображено системой распределения, знающие люди могли использовать черный ход для автоматического получения бесплатных билетов даже после того, как общее количество в 30 000 уже давно превышено. И вдвойне: когда была указана уязвимость, этот доступ был только временно и, вероятно, заблокирован без каких-либо реальных специальных знаний. Еще один контакт, который, по словам исследователей, был не очень конструктивным, был необходим, чтобы полностью устранить эту уязвимость.

245 000 незащищенных записей данных в сети

После того, как такая безответственность и невежество были разоблачены в этом отношении, исследователи безопасности рассмотрели другие проекты, осуществляемые теми же агентствами на государственные средства. Затем выяснилось, что данные о 245 971 гражданине ЕС, подписавшихся на проект, стартовавший в 2018 г. Откройте для себяЕС зарегистрированы, могут быть восстановлены без каких-либо усилий.

DiscoverEU — это проект, в котором разыгрываются проездные Interrail для Европы и из подключенной базы данных не только имена людей, но и адрес электронной почты, страна происхождения, статус регистрации, тип билета и прочитайте номер заказа в Interrail.

Любой, кто обрабатывает данные, также должен защищать их

Исследователи безопасности видят в этих двух проектах еще одно свидетельство провала и безответственных действий от имени общественности:

Таких недоработанных решений будет недостаточно, если поставщик билетов хочет продать несколько билетов на концерты. Но если федеральное министерство встанет и раздаст билеты на поезд, то особое внимание опять же нужно уделить тому, чтобы все было хорошо проверено.
Становится еще хуже, когда мы можем не только создавать новые паспорта, но даже получить более 245 000 записей программы DiscoverEU. Опять же, если веб-сайт достаточно развит, чтобы обрабатывать данные, он также должен быть достаточно развит, чтобы держать их при себе.
Поражает, что здесь так небрежно проделали работу – и это, видимо, просто принято.