Known Crewmember (KCM)

Продукт
Разработчики: Администрация транспортной безопасности США (TSA)
Дата премьеры системы: август 2024 г
Отрасли: Информационная безопасность,  Транспорт

2024: Выявление критической уязвимости

В начале сентября 2024 года стало известно о проблеме системы авторизации пилотов, которая позволяет злоумышленникам обойти проверку безопасности в аэропортах США и даже пройти на борт под видом пилота регулярных рейсов.

Исследователи Ян Кэрролл и Сэм Карри изучали безопасность систем, которые позволяют пилотам и другим членам экипажа избежать длинных очередей на досмотр в аэропортах США, а также систем, которые позволяют пилотам зарегистрироваться на любой рейс, чтобы пролететь на запасном откидном кресле в кабине самолета как по рабочим делам, так и по личным, например, в отпуск. Как оказалось, эти системы имеют критическую уязвимость, которая позволяет хакерам обходить очереди под видом пилотов.

В США взломали систему досмотра в аэропортах. Хакеры могут притвориться пилотами и пройти на борт

Была найдена уязвимость во FlyCASS, стороннем веб-сервисе, который некоторые авиакомпании используют для управления программой Known Crewmember (KCM) и системой Cockpit Access Security System (CASS). KCM — это проект Администрации транспортной безопасности США (Transportation Security Administration, TSA), который позволяет пилотам и бортпроводникам не проходить досмотр, а CASS позволяет лицензированным пилотам занимать места в кабинах самолетов во время путешествий.Метавселенная ВДНХ 4.6 т

Известно, что программа помощи пилотам охватывает 76 авиакомпаний, но крупные авиакомпании, как правило, разрабатывают собственные системы авторизации и поэтому не считаются уязвимыми. Однако более мелкие операторы чаще полагаются на услуги сторонних поставщиков, в том числе фирмы FlyCASS, ошибка которой и позволила хакерам проникнуть в систему. Исследователи отметили, что уязвимостью мог воспользоваться буквально любой человек с базовыми ИТ-знаниями, что позволяло им как обойти проверку безопасности, так и получить доступ к кабине коммерческих авиалайнеров.

Исследователи предупредили разработчика систем сразу же, как только обнаружили уязвимость, и 25 апреля 2024 года FlyCASS была отключена от программ KCM и CASS. Однако Администрация транспортной безопасности США (TSA) не сочла нужным опубликовать эти данные, к тревоге исследователей. «В апреле TSA стало известно об уязвимости в сторонней базе данных, содержащей информацию о членах экипажа. Правительственные данные или системы не были скомпрометированы, и данная проблема не имела значимых последствий для безопасности».[1]

Примечания

  1. Tired of airport security queues? SQL inject yourself into the cockpit, claim researchers
Источник — «https://finance.tadviser.ru/index.php/%D0%9F%D1%80%D0%BE%D0%B4%D1%83%D0%BA%D1%82:Known_Crewmember_(KCM)»

Править
В России заведено рекордное количество уголовных дел на врачей
В НМИЦ хирургии им. Вишневского открыли 10-этажный Центр высоких медицинских технологий за миллиарды рублей
Введен в эксплуатацию робот-хирург для операций на сердце. Он лечит аритмию
Выпущен робот-хирург, который проводит лазерную трепанацию черепа пациентам в сознании
28 ноября в рамках TAdviser SummIT пройдет конференция "ИТ в промышленности 2024"
TAdviser выпустил новую Карту «Цифровизация промышленности»: свыше 250 разработчиков и поставщиков услуг
Конференция «ИТ в ритейле 2024» состоится 28 ноября
Конференция «ИТ в госсекторе 2024» состоится 28 ноября
Андрей Вишняков, SimpleOne: ITSM активно выходит за рамки IT
ТрансТелеКом выбрал российскую платформу видеоконференцсвязи IVA
Конференция «ИТ в банках 2024» состоится 28 ноября
Конференция «Облачные технологии 2024» состоится 28 ноября
Юрий Овчаренко, «Девелоника»: Один в поле не воин: как M&A-сделки делают из хороших ИТ-компаний лидеров рынка
Евгений Кучик, «БОСС»: Основная задача миграции — получить новую HR-систему, соответствующую принятым на предприятии технологиям
Rubytech и «Сонорусс» оснастили технохаб Сбербанка российским акустическим оборудованием Аврора, обеспечив уровень Enterprise
Девелопер MR Group мигрировал на BPMSoft, заменив 70% функциональности своей CRM
Леонид Винокуров, «Интерпроком»: «АКСИОМА» — это 3-в-1: оптимизация процессов ТОиР, автоматизация и импортозамещение
Олег Бартунов, Postgres Professional: Пять отличий настоящего СУБД-разработчика
Дмитрий Красовский, T1: В IT-образовании один из главных трендов — связь между обучением и бизнес-метриками
Служба каталогов MultiDirectory — бесплатная полнофункциональная Community-версия
Алексей Персианов, ADV: Мы вытягиваем даже те ecommerce-проекты, которые сами заказчики считают безнадежными
Гид TAdviser по российским заводам компьютерной техники
Максим Смирнов, IVA Technologies: Экосистема IVA превосходит возможности западных ВКС-гигантов
Цифровое рабочее пространство Squadus PRO — объедините коммуникации компании в едином приложении
билайн Big Data & AI представил платформенное решение по видеоаналитике
Как «Ростелеком» снизил сроки проведения малых закупок и увеличил конкуренцию среди поставщиков
ERP vs SRM: что выбрать для цифровизации закупок
Облачные решения для заоблачных мощностей: как работает передовая инфраструктура EdgeЦентр
Highload-системы: от первых опытов до мейнстрима
TAdviser признан лучшим ИТ-СМИ 2024 года по версии «Руссофт»
Как российский «Ашан» справляется с уходом Oracle и других зарубежных вендоров. Интервью с CEO «Ашан Тех» Верой Эмрот
Известный писатель-фантаст Сергей Лукьяненко выступит на TAdviser SummIT 28 ноября. Регистрация
Ранкинг TAdviser100: Крупнейшие ИТ-компании в России 2024
TAdviser выпустил Гид по российским операционным системам