Компанията Airportr, която предлага премиум услуга за превоз на багаж, си партнира с 10 авиолинии и е предпочитана от международни дипломати, се оказва уязвима под натиска на мащабна кибератака. Изследователи от CyberX9 предупреждават, че са открили критични проблеми в уебсайта на базираната във Великобритания компания, които позволяват достъп до личните данни на всички клиенти – включително имена, телефони, адреси, маршрути, билети, паспортни снимки и подписи.

Сред тях фигурират и представители на дипломатически мисии от САЩ, Швейцария и Великобритания.

„Всеки би могъл да получи – или вече да е получил – абсолютно пълен достъп до всички операции и данни на тази компания“, заявява Химаншу Патак, основател и главен изпълнителен директор на CyberX9, цитиран от WIRED.

„Проблемите водят до пълно изтичане на конфиденциална информация за всички потребители на услугата, включително и възможност за пълен контрол над резервации и багаж.“

Услугата на Airportr позволява на пътници, основно от Великобритания и Европа, да възложат вземането, чекирането и доставката на багажа си до желаната дестинация. Но проблемът се появява заради грешки в бекенда на сайта, които позволяват на всеки, който притежава имейл адрес, да промени чужда парола и да получи достъп до всички профили в системата.

Софтуерът SharePoint се използва често от глобални компании и организации за съхранение и съвместна отдалечена работа по документи

Хакери атакуват организации по цял свят през SharePoint на Microsoft

Освен това липсват и най-обикновени мерки за сигурност като rate limiting – което означава, че злонамерен софтуер би могъл да отгатне хиляди имейли в рамките на няколко секунди.

„Влязохме в ролята на супер-админ с лекота“, обобщават от CyberX9. „Можехме да пренасочваме или крадем багаж, да отменяме полети, да изпращаме фишинг имейли от името на компанията – с пълен достъп до нейния административен панел.“

От Airportr потвърждават за слабостите на платформата си. В официална позиция директорът Рандел Дарби заявява, че засегнатата част от системата е била незабавно изключена още през април, след като компанията е уведомена, а уязвимостите – коригирани в рамките на няколко дни.

„Данните са били достъпни единствено за етичните хакери с цел подобряване на сигурността. Реагирахме бързо и не е имало рискове след това“, уверява Дарби. „Приемаме сериозно отговорността да защитим данните на клиентите си.“

Общо $2,17 млрд. в криптовалута са откраднати само за първото полугодие на 2025 г., показва доклад на Chainalysis. Над две трети от атаките се свързват със севернокорейски групи, използващи крипто активи за заобикаляне на санкции

Северна Корея стои зад рекордна крипто кражба за $1,4 млрд. – хакерските атаки удрят нов връх през 2025 г.

И все пак от страна на CyberX9 настояват, че фактът, че пробивът е бил толкова лесен за осъществяване, поставя въпроса дали и други хакери не са стигнали до този достъп преди тях. Изследователите са се сдобили с паспортните снимки на четирима британски, двама американски и трима швейцарски дипломати. Сред тях са и действащ посланик на Обединеното кралство, както и американски експерт по киберсигурност от изпълнителната власт.

Airportr е официален партньор на American Airlines, British Airways, Lufthansa и Virgin Atlantic. Услугите ѝ се предлагат за полети от и към Великобритания, Германия, Швейцария и Австрия. От WIRED уточняват, че Lufthansa е единствената авиокомпания, която е отговорила на запитване: „Ще разследваме всички индикации за пробив от трета страна сериозно и без забавяне“, заявяват от превозвача.

Интересното е, че самите изследователи от CyberX9 попадат на услугата, след като им е предложена при резервация на полет от Обединените арабски емирства. Именно това поражда съмнение: „Това е чувствителна дейност – обработка на багаж и достъп до лични данни. Решихме да проверим колко сигурни са системите им“, разказва ръководителят на екипа.

От WormGPT до XBOW – езиковите модели дават на аматьори и професионалисти нови инструменти за кибератаки и пренаписват правилата в офанзивната сигурност

Vibe hacking: Каква е новата дигитална заплаха, създадена от генеративния AI

Сред установените пропуски са възможността за прехващане на API ключ при регистрация и използването му за промяна на чужда парола, липса на защита срещу автоматизирани атаки и дори наличие на административни имейли в публично достъпни кодове.

Отговорът на Дарби: „Макар че изложената информация би могла теоретично да даде администраторски достъп, действия без задействане на аларми биха били изключително трудни.“

Според него, системите на авиокомпаниите не са били компрометирани, тъй като Airportr има само четящ достъп до API интерфейсите им. Но от CyberX9 не са съгласни – според тях достъпът е бил реален, а компанията не е подозирала за това, докато не е била уведомена.

„Не сме информирали авиокомпаниите, тъй като инцидентът беше преценен като нискорисков“, допълва Дарби. „След като медиите повдигнаха въпроса, подадохме сигнал до Британската комисия по защита на личните данни (ICO) като предпазна мярка.“

Според CyberX9 инцидентът е ясен сигнал към индустрията: „Рискът често не идва от самите авиокомпании, а от малките външни услуги, които те препоръчват. Ние като пътници им се доверяваме, а реално данните ни са толкова защитени, колкото е най-уязвимото звено в тази система.“