据外媒technewsworld报道,移动安全供应商Wandera周三披露,包括西南航空公司和荷兰航空公司KLM在内的八家航空公司的电子票务系统存在漏洞,可能会暴露乘客的个人身份信息(PII)。
他们使用的是黑客可以轻松拦截的未加密链接。因此,黑客不但可以查看,甚至在某些情况下可以更改受害者的航班预订详细信息,或打印登机牌。
根据Wandera的说法,法国航空公司,Vueling公司,捷星公司,托马斯库克公司,Transavia公司和欧洲航空公司也有这个问题。
“Wandera调查了40多家全球航空公司使用的电子票务系统,”该公司产品副总裁Michael Covington表示。
在公开披露漏洞之前,Wandera为供应商提供长达四周的时间来提供补丁或相关修复。
Covington说,该公司一直在与“一些受影响的航空公司”进行沟通,但未能验证是否已实施任何修复措施。
发现漏洞
Wandera在获悉访问八家航空公司之一的电子票务系统的客户未经加密发送旅行相关的旅客详细信息后,于12月初确定了该漏洞。
然后,它研究了其他航空公司的电子票务系统是否同样易受攻击。
Wandera通知受影响的航空公司,因为需要这些公司赶紧修补漏洞。它还与负责机场安全的政府机构分享了调查结果。
漏洞详细信息
来自指定航空公司的未加密登记链接,在某些情况下,其他人可以对预订进行某些更改并打印出登机牌。
一旦乘客访问易受攻击的登记链接,同一网络上的黑客就可以拦截允许访问电子票务系统的凭证。
使用这些凭证,黑客可以在航班起飞前访问电子票务系统,甚至可以多次访问电子票务系统,并访问与预订相关的所有个人身份信息。
“这个漏洞不需要中间人攻击或恶意软件安装才能被利用,”科文顿说。“任何人都使用与乘客相同的网络-无线或有线-将能够拦截电子票务站点的凭证。”
CipherCloud的首席战略办公室Anthony James表示,航空公司“绝对不应该在没有认证的情况下提供电子邮件中提供PII数据的链接”。
来源:油菜花
