Uma falha crítica nos sistemas permitia que um atacante de forma remota conseguisse aceder e modificar detalhes de viagens e passar-se por alguém que efetivamente tivesse feito viagens. Isto era possível apenas sabendo o número de PNR, ou seja, o nome de passageiro. Alterando o valor do parâmetro "RULE_SOURCE_1_ID" no link recebido pelo número de PNR de outra pessoa, era possível obter informação pessoal e sobre as viagens associadas à conta dessa pessoa.

Entre outras coisas, as consequências deste tipo de ações podiam manifestar-se na realização de mudanças à conta da pessoa, fazer-se passar por essa mesma pessoa assumindo exatamente o número de viagens que tivesse já efetuado até essa altura, reservar lugares e refeições para essa pessoa, atualizar o email e número de telemóvel, cancelar ou alterar a reserva, entre outros.

O portal Amadeus, o oficial destas empresas, não tinha também nenhum mecanismo de proteção a ataques força bruta, ou seja, através de um pequeno script que gerasse o PNR, chegar-se-ia aos PNR's que fossem válidos na empresa e tomar ações maliciosas contra os utilizadores desses mesmos PNR's.

Estes erros já foram entretanto corrigidos, e portanto já não é possível identificar PNR's ativos por força-bruta.

Mais informações aqui: https://techcrunch.com/2019/01/15/amadeus-airline-booking-vulnerability-passenger-records/?guccounter=1