Até o dia 6 de julho deste ano, o site da United Airlines para atendimento aos passageiros da companhia esteve expondo dados dos reembolsos que muitos solicitaram: com apenas um número do ticket, qualquer pessoa podia ver detalhes do reembolso, não só de um como também de uma enorme quantidade de passageiros. O bug foi descoberto pelo pesquisador Oliver Linow, que descreveu o problema em seu blog e também no portal Tech Crunch. Tudo ocorria porque o script do formulário não estava validando o sobrenome do passageiro, permitindo assim o acesso às informações de reembolso com a simples alteração do número da passagem.
Veja isso
Falta de registro DMARC de companhias aéreas dá margem a fraudes
Invasão pega 9,4 milhões de registros de aérea
Linow disse que era possível ver os sobrenomes dos passageiros, o tipo de pagamento e a moeda usados para comprar a passagem, além do valor do reembolso. O pesquisador havia comunicado o problema à United no dia 6 de julho e a empresa demorou um mês para resolvê-lo mas não informou Linow de que a solução havia sido implantada.
Linow não conseguiu descobrir há quanto tempo o bug existia. O Tech Crunch tentou mas também não conseguiu contato com a United para que respondesse a algumas perguntas sobre o problema. Uma delas, se a companhia aérea havia informado as autoridades de proteção de dados sobre o incidente.
Com agências internacionais