NASA heeft mensen de kans gegeven virtueel een ruimtereis mee te maken door een instapkaart (boarding pass) te bemachtigen voor toekomstige vluchten. Iedereen die daar wel oren naar heeft kan zich via de website van NASA opgeven. Orion, het ruimteveer dat afgelopen vrijdag zijn eerste testvlucht maakte, is daar vooralsnog het aangewezen vervoersmiddel voor.

Namen meegenomen in de ruimte

De ruimtereizen worden door de belangstellenden namelijk virtueel gemaakt. De namen worden opgeslagen in een database en meegenomen door Orion de ruimte in. Maar beveiligingsonderzoeker Benjamin Kunz Mejri ontdekte een gat in de applicatie achter de webpagina waarop mensen zich konden aanmelden.

Via het gat kon op het invulformulier een code worden geinjecteerd, daar waar de voor- en achternaam van de belangstellende kan worden ingevoerd. Mejri voerde drie maal een niet-schadelijke code in, waardoor er drie namaak-identiteiten ontstonden. Twee ervan werden door beveiligingsexperts van NASA onderschept en geplaatst op de No Fly-list. De derde (met de naam Payload1 Payload2) slipte er door heen.

De namen in de database, waaronder dus de illegale passagier, werden geflasht op een geïsoleerde chip aan boord van de Orion, dat vervolgens met de verstekeling twee baantjes om de Aarde draaide om na 4 uur en 24 minuten neer te komen in de Grote Oceaan.

Allemaal leuk een aardig natuurlijk, maar de kwetsbaarheid is door NASA wel als hoogst riskant bestempeld met een CVSS van 6.0. Met een exploit kan een aanvaller sessies kapen, een externe redirect instellen op NASA-domeinen, content in de module manipuleren en data afvangen.