Qantas : quand les numéros de passeport et de téléphone de Tony Abbott sont révélés depuis Instagram !

Alors que bon nombre de détournements reposent sur un socle complexe, comme une méthode de chiffrement par exemple, parfois, il suffit d'un coup d’œil pour exploiter ce qui est déjà là : une opportunité qu'aurait saisi ce chercheur australien depuis une simple photo postée par Tony Abbott, actuel conseiller du Board of Trade, au Royaume-Uni.

 

 

Le 22 Mars 2020, l'homme politique d'origine australienne s'envole et partage la nouvelle sur Instagram, en publiant deux billets d'avion de la compagnie Qantas : la photo est prise de très près et on peut y voir un tas d'informations. Un point qui n'a pas échappé à Alex Hope qui, sur requête d'un ami ou d'un aficionado, s'est exécuté.

Plus particulièrement, le code-barres (qui contient un condensé de ces informations dont la réservation, le vol, entre-autres), le numéro de vol ont été éprouvés mais cela n'a rien donné de probant depuis le site Qantas, qui permet de contrôler les réservations ou de revoir les vols effectués, en entrant certaines données ou informations relatives au vol. En cherchant un peu et en laissant le vol de réservation ou d'embarquement, via la fameuse fonction permettant d'inspecter un élément dans une page Web, depuis un quelconque navigateur, chose étonnante, en clair, une information se révèle : celle relative au passeport du voyageur ; en l'occurrence, ici, Tony Abbott...

 

Concernant le numéro de téléphone, celui-ci n'était pas visuellement accessible (cela aurait pu mais, fort heureusement, non) : il a fallut un peu de recherche sur l'Internet pour décoder le CTCM, les informations relatives aux passagers d'une compagnie et qui sont stockés ou chiffrées sous SSR. Dans le PoC démontré, la chaîne "CTCM QF HK1", suivie de nombres accolés, correspond, en fait, au numéro de téléphone d'un passager, précédé d'un indicatif. En outre, des commentaires ou informations commerciales de la compagnie aérienne ont été collectés, rien que pour cette vente de billets.

Le Gouvernement australien a été averti peu de temps après : celui-ci a fourni une réponse, au 24 Mars 2020 de "l'exposition potentielle" ainsi découverte. Au 30 Mars, la compagnie aérienne a été avertie. Cette dernière a répondu au 1er Avril en répondant que leur équipe allait travailler "activement" sur le problème. Néanmoins, Alex Hope a dû relancer Qantas (au 13 Juillet...) pour savoir de quoi il en retournait : finalement, un ultime mail a été envoyé de la compagnie, au 21 Août 2020, pour signifier que le bug avait été corrigé... A veiller !

 

 

Source : Blog Mango (Alex Hope) - 15 Septembre 2020 - Qantas : divulgation en clair des informations liées au passeport, du numéro de téléphone et des informations ou commentaires liés à la transaction commerciale.