Tjäreborgin emoyhtiön verkkosivuilta löytyi tietoturva-aukko – tuhansien asiakkaiden tiedot olisivat voineet vuotaa ulkopuolisille

Norjassa työskentelevä ohjelmoija havaitsi tietoturva-aukon Thomas Cookin Pohjoismaiden verkkosivuilla kesäkuussa.

Tietoturva-aukko
Thomas Cookin uusi logo.
AOP

Brittiläisen Thomas Cook -yhtiön verkkosivuilta on löytynyt tietoturva-aukko, jonka kautta tuhansien yhtiöön kuuluvien matkatoimistojen asiakkaiden tiedot olisivat voineet vuotaa ulkopuoliselle taholle, kertoo ohjelmoija Roy Solberg Svenska Ylelle.

Myös Suomessa toimiva Tjäreborg kuuluu haavoittuvuuden piiriin, sillä Thomas Cook on sen emoyhtiö.

Norjassa työskentelevä Solberg havaitsi tietoturva-aukon Thomas Cookin Pohjoismaiden verkkosivuilla viime kuussa.

– [Haavoittuvuuden vuoksi] On voitu nähdä milloin joku matkustaa, henkilön koko nimi ja hänen kanssaan matkustavien tiedot – esimerkiksi koko perheen tiedot, Solberg kertoo.

– Tämä ei ole dataa, jonka pitäisi olla kaikkien saatavilla. Tällaista tietoa ei saisi koskaan, jos soittaisi lentoyhtiöön tai lentoasemalle.

Thomas Cook -yhtiöstä kerrotaan Svenska Ylelle, että he eivät tiedä, onko asiakkaiden tietoja vuotanut haavoittuvuuden kautta.

Tietoihin pääsi käsiksi varausnumerolla

Solberg oli itse matkustamassa Thomas Cook -yhtiöön kuuluvalla matkanjärjestäjällä, kun hän havaitsi, että verkkoselaimen osoiterivin osoitetta muuttamalla pääsi näkemään myös muiden matkustajien tietoja.

Hän testasi havaintoaan ystävänsä Konstantin Loginovin varausnumerolla. Numero oli peräisin Loginovin viimeisimmältä matkalta, jonka hän teki Thomas Cookiin kuuluvan matkatoimiston Vingin kautta.

Solberg sai nopeasti selville, että Loginov oli matkustanut vaimonsa kanssa Jamaikalle tiettynä päivänä vuonna 2016. Haavoittuvuus mahdollisti monien muidenkin asiakkaiden tietojen katselemisen samalla tavalla.

Loginov suhtautuu asiaan rauhallisesti. Hän kuitenkin uskoo, että kaikki asiakkaat eivät suhtaudu samoin.

– Esimerkiksi, jos matkustat jonkun muun kuin kumppanisi kanssa, etkä halua hänen [kumppanin] tietävän siitä tai jos haluat vain mennä jonnekin salassa, Loginov sanoo.

Solberg huomauttaa, että useat matkatoimistot, kuten Tjäreborg ja Ving, käyttävät juoksevia varausnumeroja, joten aiempien tai tulevien matkavarausten tietoja pääsee selaamaan muuttamalla varausnumerosta vain yhtä numeroa.

Solberg pääsi tarkastelemaan matkatietoja aina vuodesta 2013 aina vuoteen 2019.

Haavoittuvuus löytyi Airshoppen-sivulta

Solbergin mukaan Thomas Cookin tietoturva-aukon havaitseminen on ollut suhteellisen helppoa ihmiselle, joka tietää edes hieman verkkosivujen kehittämisestä. Näin ollen Solberg ei välttämättä ole ensimmäinen haavoittuvuuden löytänyt.

– Käsitykseni mukaan Thomas Cook ei kykene selvittämään teknisesti, onko joku käyttänyt dataa hyväkseen.

Solbergin löytämä haavoittuvuus on paikattu sen jälkeen, kun ohjelmoija otti yhteyttä Thomas Cookiin. Aukko löytyi yhtiön Airshoppen-sivuilta, mistä esimerkiksi Tjäreborgilla matkustettaessa voi tilata lennolle taxfree-tuotteita tai varata lentokoneesta istumapaikan.

Solbergin mukaan asiakkaiden matkustustiedot pystyi kuitenkin löytämään, vaikka he eivät olisi tehneet taxfree-ostoksia.

Aluksi Thomas Cookin Pohjois-Euroopan viestintäpäällikkö Fredrik Henriksson kielsi haavoittuvuuden koskeneen muita kuin taxfree-ostoksia netissä tehneitä matkustajia. Myöhemmin Henriksson myönsi, että Airshoppen-sivu on yhteydessä myös muihin järjestelmiin, joten tietoturva-aukko on koskenut muitakun kuin verkossa ostoksia tehneitä asiakkaita.

Fredriksson vahvistaa, että haavoittuvuuden myötä on voitu päästä käsiksi asiakkaan nimeen, matkapäivään ja -kohteeseen sekä tämän sähköpostiosoitteeseen.

Lue lisää:

Konstantins resa till Jamaica inte så privat som han trodde - avslöjades via stort säkerhetshål som också drabbade Tjäreborg