Nandan Kumar postanowił więc wziąć się do roboty i odzyskać swoją własność korzystając ze swoich umiejętności.
Klawisz F12 i szczęśliwe zakończenie całej sytuacji
Podczas jednej ze swoich podróży, Nandan Kumar przypadkowo zamienił swoją walizkę z jednym z współpasażerów. W wypowiedzi dla serwisu BBC, Kumar przyznał, że zorientował się w całej sytuacji dopiero wtedy, kiedy wrócił do domu – obie torby miały bowiem wyglądać niemal identycznie. Przynajmniej na pierwszy rzut oka.
Na samym początku Kumar próbował zidentyfikować współpasażera za pomocą numeru na walizce (dzięki przylepionej naklejce), ale kiedy dodzwonił się na infolinię IndiGo, linie lotnicze odmówiły mu pomocy powołując się na przepisy dotyczące prywatności i ochrony danych. Agent oddelegowany do sprawy zapewnił Nandana Kumara, że odezwie się, jak tylko będzie wiedzieć coś więcej.
Hey @IndiGo6E ,
Want to hear a story? And at the end of it I will tell you hole (technical vulnerability )in your system? #dev #bug #bugbounty 1/n— Nandan kumar (@_sirius93_) March 28, 2022
Kumar następnego dnia zaczął jednak grzebać na stronie linii lotniczych na własną rękę. Próbował różnych metod – odprawy, edytowania numeru rezerwacji, aktualizowania kontaktu. Nic nie zadziałało. Ratunek przyniósł przycisk F12 i otworzenie konsoli w przeglądarce. Z poziomu dzienników sieciowych, Kumar znalazł numer współpasażera i dzięki temu mógł się z nim skontaktować.
Dane udostępniane przez IndiGo okazały się niezaszyfrowane – Kumar zwrócił uwagę, że mógł pozyskać bez problemu numery PNR oraz nazwiska pasażerów. Nie zrobił tego, jednocześnie powiadamiając linie lotnicze o problemach z zabezpieczeniami. Po odnalezieniu numeru telefonu, 28-latek zadzwonił do mężczyzny, który wziął jego torbę i z sukcesem wymienił bagaż na swój.
Trzeba przyznać, że ta sytuacja brzmi dość kuriozalnie – szczególnie jeśli patrzy się na nią z boku. Z drugiej strony, to dziwne, że same linie lotnicze nie miały żadnych procedur, które pozwoliłyby Kumarowi odzyskać jego bagaż w szybszy sposób.
Czytaj też: Już 9-latki atakują swoje szkoły za pomocą DDoS
Nie wiem czy wykorzystanie F12 i sprawne poruszanie się po konsoli dla programistów można uznać za hakowanie, ale… nie będę się kłócił z właścicielem opisywanego bagażu. Jak dla mnie to wszystko to po prostu… skuteczne znalezienie niezałatanej podatności.