ثغرة في واجهة برمجة Frontier Airlines تكشف بيانات المسافرين عبر مسح بطاقة الصعود

أبرز النقاط

• رمز الحجز المكوّن من 6 أرقام على بطاقة الصعود كافٍ لاستخراج بيانات حساسة
• تشمل البيانات المكشوفة عناوين السكن وأرقام جوازات السفر وأغلب أرقام البطاقات الائتمانية
• الشركة لم تُغلق الثغرات بالكامل رغم إبلاغها قبل أكثر من ثلاثة أشهر

كشف باحث أمني يُعرف باسم Bob عن ثغرة أمنية خطيرة في واجهة برمجة التطبيقات API الخاصة بشركة Frontier Airlines الأمريكية، تُمكّن أي شخص يحصل على رمز الحجز PNR المطبوع على بطاقة الصعود من الوصول إلى بيانات شخصية بالغة الحساسية لجميع ركاب الرحلة. تُعدّ هذه الحادثة تذكيراً صارخاً بأن بطاقة الصعود ليست مجرد تذكرة سفر، بل وثيقة هوية رقمية ينبغي التعامل معها بحذر شديد.

ما البيانات التي كشفتها ثغرة Frontier Airlines؟

وفقاً لما نشره الباحث على مدونته، فإن استغلال الثغرة لا يتطلب سوى رمز الحجز PNR المؤلف من ستة أرقام واسم العائلة — وكلاهما مطبوع بوضوح على بطاقة الصعود أو مُضمَّن في الباركود القابل للمسح. بمجرد إدخال هذه المعلومات في أحد نقاط الوصول الطرفية لتطبيق الشركة، يحصل المهاجم على حزمة بيانات شاملة تضم:

• عنوان السكن الكامل والبريد الإلكتروني ورقم الهاتف
• تاريخ الميلاد بالكامل
• بيانات جواز السفر كاملة
• رقم البطاقة الائتمانية باستثناء 5 أرقام وسطى ورمز CVV فقط
• سجل المدفوعات
• رمز TSA PreCheck الخاص بالمسافرين الموثوقين

لماذا يُعدّ رمز TSA PreCheck خطراً استثنائياً؟

رمز TSA PreCheck أو ما يُعرف بـ Known Traveler Number يمنح حامله صلاحية تجاوز بعض إجراءات التفتيش الأمني في المطارات الأمريكية. تسريب هذا الرمز يفتح الباب أمام منتحلي الهوية للمرور عبر نقاط التفتيش بسهولة أكبر، وهو ما يُشكّل تهديداً أمنياً يتخطى حدود سرقة الهوية المالية إلى ما هو أخطر.

كيف تعاملت Frontier مع البلاغ الأمني؟

تواصل الباحث مع الشركة في 3 مارس وأرسل متابعة في 9 مارس، ملتزماً ببروتوكول الإفصاح المسؤول الذي يمنح الشركات 90 يوماً لإصلاح الثغرات قبل نشرها. استجابت Frontier بإضافة شرط إدخال اسم العائلة — وهو إصلاح جزئي لا قيمة له عملياً لأن الاسم مطبوع على البطاقة ذاتها. في المقابل، أرسلت الشركة للباحث مجسّماً صغيراً لطائرة كنوع من الشكر.

الأسوأ من ذلك أن محاولات الترقيع اللاحقة جاءت بنتائج عكسية؛ إذ أشار Bob إلى أن النسخة المُصلَحة من صفحة إدارة الحجز كشفت معلومات أكثر مما كانت تكشفه النسخة الأصلية. البيانات تُخفى بصرياً عند العرض، لكنها موجودة بوضوح في الشيفرة المصدرية واستدعاءات الواجهة البرمجية.

ما الدروس المستفادة لشركات الطيران الخليجية؟

تتسارع وتيرة التحول الرقمي في قطاع الطيران الخليجي ضمن مبادرات مثل رؤية السعودية 2030 واستراتيجيات الإمارات للسياحة الذكية. هذه الحادثة تُبرز أهمية تبني مبدأ تقليل البيانات Data Minimization في تصميم واجهات برمجة التطبيقات، بحيث لا تُسترجع أو تُعرض سوى البيانات الضرورية فعلياً لإتمام كل عملية. كما تُؤكد ضرورة إجراء اختبارات اختراق دورية والاستجابة الفورية لبلاغات الباحثين الأمنيين.

كيف تحمي بياناتك كمسافر؟

• لا تنشر صورة بطاقة الصعود على وسائل التواصل الاجتماعي حتى بعد طمس اسمك، فالباركود يحتوي على رمز الحجز
• مزّق بطاقة الصعود الورقية بعد انتهاء الرحلة أو استخدم النسخة الرقمية فقط
• راقب كشوف حساباتك المصرفية بعد السفر بحثاً عن أي نشاط غير معتاد
• فعّل التنبيهات الفورية على بطاقتك الائتمانية

الأسئلة الشائعة

ما هو رمز PNR ولماذا يُعدّ حساساً؟

PNR اختصار لـ Passenger Name Record، وهو رمز مكوّن من ستة أحرف أو أرقام يُستخدم لتعريف الحجز. حساسيته تكمن في أنه مفتاح للوصول إلى تفاصيل الرحلة وبيانات المسافر عبر أنظمة شركات الطيران.

هل يمكن للمهاجم استخدام البيانات المسربة لسرقة الهوية؟

نعم، البيانات المكشوفة تشمل معلومات كافية لانتحال الهوية: جواز السفر، العنوان، تاريخ الميلاد، وجزء كبير من رقم البطاقة الائتمانية.

هل أُغلقت الثغرة نهائياً؟

وفقاً للباحث، لا تزال بعض الثغرات الحرجة نشطة رغم مرور أكثر من 90 يوماً على الإبلاغ الأول.

كيف أتحقق من أمان بياناتي لدى شركة الطيران؟

راجع سياسة الخصوصية، وتواصل مع خدمة العملاء للاستفسار عن إجراءات حماية البيانات، وتجنب حفظ بطاقات الدفع في حسابك ما لم يكن ضرورياً.