ស្ទើរតែពាក់កណ្តាលនៃអ្នកធ្វើដំណើរទាំងអស់នៅជុំវិញពិភពលោកត្រូវគេរកឃើញថាមានភាពងាយរងគ្រោះផ្នែកសន្តិសុខយ៉ាងធ្ងន់ធ្ងរនៅក្នុងប្រព័ន្ធកក់សំបុត្រហោះតាមអនឡាញដែលអនុញ្ញាតឱ្យពួកហេគឃ័រពីចម្ងាយអាចចូល និងកែប្រែព័ត៌មានលំអិតនៃការធ្វើដំណើររបស់ពួកគេ ហើយថែមទាំងកែសម្រួលទៅលើទិន្នន័យ Frequent Flyer Miles ផងដែរ។
អ្នកស្រាវជ្រាវសន្តិសុខអ៊ីស្រាអ៊ែលលោក Noam Rotem រកឃើញភាពងាយរងគ្រោះនេះនៅពេលគាត់កក់ជើងហោះហើរពីក្រុមហ៊ុនអាកាសចរណ៍អ៊ីស្រាអ៊ែល ELAL ហើយចំណុចរងគ្រោះនេះគឺទាមទារតែលេខឈ្មោះអ្នកដំណើរ PNR (Passenger Name Record) របស់ជនរងគ្រោះតែប៉ុណ្ណោះ។
ភាពងាយរងគ្រោះនេះមាននៅក្នុងប្រព័ន្ធកក់សំបុត្រតាមអ៊ីនធឺណិតដែលត្រូវប្រើប្រាស់យ៉ាងទូលំទូលាយក្រោមការអភិវឌ្ឍរបស់ Amadeus ដែលបច្ចុប្បន្នកំពុងត្រូវបានប្រើប្រាស់ដោយក្រុមហ៊ុនអាកាសចរណ៍អន្តរជាតិចំនួន 141 ដែលរួមមាន ក្រុមហ៊ុន United Airlines, Lufthansa និង Air Canada ។
បន្ទាប់ពីកក់ជើងហោះហើរជាមួយ ELAL អ្នកដំណើរទទួលបានលេខ PNR និងបញ្ជប់ (link) ពិសេសមួយដែលអនុញ្ញាតឱ្យអតិថិជនពិនិត្យមើលស្ថានភាពនៃការកក់សំបុត្រ និងព័ត៌មានដែលពាក់ព័ន្ធនឹង PNR នោះ។
លោក Rotem រកឃើញថា គ្រាន់តែផ្លាស់ប្តូរតម្លៃនៃប៉ារ៉ាម៉ែត្រ “RULE_SOURCE_1_ID” នៅលើតំណភ្ជាប់ទៅកាន់លេខ PNR របស់នរណាម្នាក់ វានឹងបង្ហាញព័ត៌មានដែលទាក់ទងនឹងការកក់ទុកពីគណនីដែលមានទំនាក់ទំនងជាមួយអតិថិជននោះ។
ដោយប្រើប្រាស់ព័ត៌មានដែលបានបង្ហាញនេះ មានដូចជា លេខ ID នៃការកក់សំបុត្រ និងឈ្មោះត្រកូលរបស់អតិថិជន អ្នកវាយប្រហារអាចចូលមើលគណនីរបស់ជនរងគ្រោះនៅលើវេបសាយបម្រើសេវាអតិថិជន ELAL និង “ធ្វើការផ្លាស់ប្តូរ ព្រមទាំងកែប្រែព័ត៌មាន Frequent Flyer Miler, ការកំណត់កន្លែងអង្គុយ និងអាហារ និងធ្វើបច្ចុប្បន្នភាពអ៊ីម៉ែលរបស់អតិថិជន និងលេខទូរស័ព្ទថែមទៀត បន្ទាប់មកក៏អាចប្រើប្រាស់ព័ត៌មានទាំងនេះដើម្បីធ្វើការបោះបង់ / ផ្លាស់ប្តូរការកក់ជើងហោះហើរតាមរយៈសេវាកម្មអតិថិជនផងដែរ។”
លោក Rotem ក៏រកឃើញផងដែរថា វេបសាយ Amadeus មិនប្រើការការពារប្រឆាំងទៅនឹង bruteforce ទាល់តែសោះ ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារធ្វើការព្យាយាមវាយលុកតាមរយៈបច្ចេកទេស brutefoce (អក្សរធំ អក្សរតូច លេខ និមិ្មតសញ្ញា) ដោយប្រើប្រាស់ script ដើម្បីរកលេខ PNR ដែលកំពុងតែដំណើរការទាំងអស់របស់អតិថិជននៃគេហទំព័រទាំងឡាយណាដែលពាក់ព័ន្ធទៅនឹងវេបសាយទាំងឡាយណាដែលប្រើប្រាស់ Amadeus ។
អ្នកអាចមើលឃើញការបង្ហាញវីដេអូដែលផ្តល់ដោយអ្នកស្រាវជ្រាវដើម្បីដឹងពីរបៀបដែល script សាមញ្ញដែលគាត់បានទាយពីលេខ PNR និងអាចរកឃើញចំនួនអ្នកដំណើរការរបស់ Amadeus ។
ចាប់តាំងពីប្រព័ន្ធកក់កន្លែងរបស់ Amadeus ត្រូវប្រើប្រាស់យ៉ាងហោចណាស់សម្រាប់ក្រុមហ៊ុនអាកាសចរណ៍ចំនួន 141 ក្រុមហ៊ុននោះ ភាពងាយរងគ្រោះអាចប៉ះពាល់ដល់អ្នកធ្វើដំណើររាប់លាននាក់ផងដែរ។
បន្ទាប់ពីរកឃើញភាពងាយរងគ្រោះនេះ លោក Rotem ទាក់ទងទៅកាន់ ELAL ភ្លាមៗដើម្បីចង្អុលបង្ហាញអំពីការគំរាមកំហែង និងស្នើឱ្យក្រុមហ៊ុនអាកាសចរណ៍នេះប្រើប្រាស់បច្ចេកទេស captchas, ពាក្យសម្ងាត់ passwords និងយន្តការបង្ការ Bot ដើម្បីទប់ស្កាត់ការប៉ុនប៉ងការវាយប្រហារ brute-force attempts នេះ។
ឥឡូវនេះ Amadeus ធ្វើការជួសជុលបញ្ហានេះ ហើយ script របស់លោក Rotem មិនអាចកំណត់ទៅលើលេខ PNRs ដែលកំពុងដំណើរការ ដូចដែលបានបង្ហាញនៅក្នុងវីដេអូខាងលើនោះទេ។
នៅពេលទាក់ទងទៅកាន់ក្រុមហ៊ុន Amadeus ក្រុមហ៊ុននេះឆ្លើយតបថា “នៅ Amadeus យើងផ្តល់អាទិភាពខ្ពស់បំផុតដល់សន្តិសុខ និងការតាមដាន និងការធ្វើបច្ចុប្បន្នភាពប្រព័ន្ធរបស់យើង។ ក្រុមបច្ចេកទេសរបស់យើងចាត់វិធានការជាបន្ទាន់ហើយឥឡូវនេះយើងអាចបញ្ជាក់ថាបញ្ហានេះត្រូវបានដោះស្រាយហើយ” ។ Amadeus បន្ថែមទៀតថា ក្រុមហ៊ុននេះបន្ថែមនូវ Recovery PTR ដើម្បីពង្រឹងសន្តិសុខបន្ថែមទៀត និងការរារាំងអ្នកប្រើប្រាស់ដែលរងគ្រោះពីការចូលទៅកាន់ព័ត៌មានផ្ទាល់ខ្លួនរបស់ពួកគេ៕