В современном мире безопасность данных приобретает особое значение, особенно когда речь идет о персональной и конфиденциальной информации, связанной с путешествиями. Недавний инцидент с британским сервисом Airportr, предоставляющим услугу доставки багажа для клиентов десяти разных авиакомпаний, вызвал серьезные опасения в области кибербезопасности. Ошибки в программном обеспечении этого премиального сервиса позволили злоумышленникам получить доступ к персональным данным всех пользователей, включая сведения о поездках, документы, а также данные дипломатов и государственных чиновников из нескольких стран, включая Великобританию, США и Швейцарию. Этот случай подчеркивает потенциальные угрозы для частной жизни путешественников и важность защиты информации в цепочке поставщиков услуг, связанных с авиаперелетами.Airportr позиционирует себя как премиальный сервис, который обеспечивает полное сопровождение багажа от двери отправителя до конечного пункта назначения.
Сервис сотрудничает с ведущими авиакомпаниями, такими как British Airways, Lufthansa и Virgin Atlantic, охватывая перевозки из стран Европы и Великобритании. Несмотря на высокий статус клиента, безопасность данных оказалась на недостаточном уровне, что позволило исследователям из компании CyberX9 обнаружить уязвимости, приводящие к утечке данных и потенциальному контролю над счетами пользователей.Исследовательская группа CyberX9 установила, что уязвимости на сайте Airportr были достаточно простыми и включали в себя отсутствие ограничений по частоте запросов и возможность менять пароли пользователей, имея лишь их электронную почту. Это означало, что злоумышленники могли автоматически перебрать электронные адреса и получить контроль над учетными записями клиентов, что дало полный доступ ко всем данным пользователей — от имени и телефонных номеров до паспортных данных и информации о рейсах. К тому же, получив доступ к административным аккаунтам компании, хакеры могли перенаправлять или даже воровать багаж, отменять рейсы и отправлять мошеннические сообщения от имени сервиса.
Таким образом, простой баг в коде превратился в опасный инструмент шпионажа и криминала.Насколько опасна была эта утечка, иллюстрируют данные, которые исследователи нашли в открытом доступе. Среди клиентов Airportr оказались несколько дипломатов и высокопоставленных правительственных сотрудников, включая британского посла и сотрудника американского кибербезопасностного ведомства. Наличие таких фигур подчеркивает, что проблема выходит далеко за рамки обычного нарушения конфиденциальности, представляя угрозу для национальной безопасности и дипломатов, чьи поездки должны оставаться приватными.Реакция со стороны Airportr после обнаружения уязвимостей была оперативной.
Глобальные баги были исправлены в течение нескольких дней после уведомления компании в апреле 2025 года. Генеральный директор Airportr Рэндел Дарби подтвердил проблемы и подчеркнул, что компания восприняла ситуацию серьезно. В своем заявлении он отметил, что службы безопасности были усилены, а задействованные баги сейчас закрыты. При этом он и представители компании заявили, что с их помощью не было зафиксировано несанкционированных действий вредоносных лиц и что данные авиакомпаний, партнеров сервиса, не были скомпрометированы.Однако эксперты из CyberX9 придерживаются более критической точки зрения.
Они подчеркивают, что уязвимости были настолько очевидны и просты в использовании, что исключить возможность их использования злоумышленниками до того, как исследователи уведомили компанию, нельзя. Отсутствие мер защиты от перебора email-адресов и высокая доступность административных аккаунтов открывали широкие возможности для проникновения. Кроме того, исследователи заявляют, что партнеры сервиса — ведущие авиакомпании — также несут ответственность за пожарную безопасность данных своих клиентов, так как они рекламируют и рекомендуют такую услугу своим пассажирам.Этот инцидент демонстрирует более широкую проблему, касающуюся управления рисками при использовании сторонних поставщиков услуг в авиационной индустрии и туризме. Пассажиры порой не осознают, насколько их данные входят в экосистему дополнительных сервисов: перевозчиков багажа, трансфертных компаний, агентов бронирования и т.
д. Уровень безопасности данных здесь может сильно отличаться от стандартов авиакомпаний и создает многочисленные точки уязвимости. Таким образом, даже если сам авиаперевозчик надежно защищает информацию, дополнительные подрядчики могут стать «слабым звеном» и подвергнуть данных клиентов риску компрометации.Аналитики подчеркивают, что повышение информированности об этих рисках и ужесточение требований к безопасности компаний, предоставляющих сопутствующие услуги, должно стать приоритетом для всей отрасли. Рекомендуется внедрять стандарты кибербезопасности, адекватные уровню дорогостоящих и конфиденциальных данных, которые обработываются.
Также необходима прозрачность и своевременное информирование клиентов о потенциальных угрозах и инцидентах с утечкой информации.Кроме того, опыт Airportr служит напоминанием о необходимости регулярных аудитов и тестирования безопасности со стороны независимых экспертов. Многие уязвимости в корпоративных системах могут быть выявлены изнутри только при активном, постоянном мониторинге и комплексных проверках. Компаниям важно не только реагировать на найденные баги, но и предотвращать их появление путем интеграции продвинутых решений по обеспечению безопасности и обучению персонала.Для пользователей это также важный урок.
При выборе дополнительных сервисов, особенно связанных с безопасностью и конфиденциальностью личных данных, следует проводить собственное исследование и отдавать предпочтение проверенным брендам с высокими стандартами защиты. Персональная осторожность и понимание угроз значительно снижают риски стать жертвой кибератак и утечек.В заключение, ситуация с Airportr иллюстрирует значимость контролирования безопасности данных на всех уровнях авиационной экосистемы. Даже премиальные сервисы могут стать источником масштабных утечек, способных подвергнуть риску как повседневных путешественников, так и представителей высших эшелонов власти. Беспрецедентное внимание к кибербезопасности, внедрение строгих правил и прозрачность коммуникаций — главные направления, которые необходимо учитывать для предотвращения аналогичных кризисов в будущем.
Только совместные усилия авиакомпаний, партнеров и пользователей помогут создать более защищенную среду для безопасных и конфиденциальных путешествий.
