英国航空公司电子票务系统中的漏洞可能使恶意者能够查看乘客的个人数据或更改他们的预订信息。
英国航空公司电子票务系统中发现的一个安全漏洞有可能暴露乘客的数据,包括他们的航班预订细节和个人信息。
研究人员周二表示,英国航空公司通过电子邮件向乘客发送的登机手续办理链接是未加密的,这使他们容易受到攻击,从而暴露受害者的订票参考号、电话号码、电子邮件地址等信息。研究人员告诉《华盛顿邮报》,他们估计在过去的六个月里,有250万人访问了受影响的英国航空域名,因此潜在的影响是“重大的”。
研究人员说:“为了简化用户体验,乘客的详细信息包含在URL参数中,这些参数把乘客从电子邮件引导到英国航空公司的网站,在那里他们可以自动登录,这样他们就可以查看自己的航班行程和登记。”在周二的分析中。“URL参数中包含的乘客详细信息是预订参考号和姓名,这两个信息都被泄露了,因为链接未加密。”
这意味着,在同一公共Wi-Fi网络上窥探的人可以很容易地拦截链接请求,自己使用它,然后访问乘客的在线登记。更糟的是,一些机场因其危险的Wi-Fi网络而臭名昭著。
研究人员说,从那里,坏人可以查看受害者的个人数据,或者操纵他们的预订信息。公开信息包括:电子邮件地址、电话号码、英国航空公司会员号码、姓名、预订参考、行程、航班号、航班时间和座位号等航班信息。
这个缺陷是在7月份发现的。研究人员说,在发现这一缺陷后,他们把易受攻击的链接通知了航空公司。
“我们的研究小组观察到泄漏在本周仍然有发生,所以我们相信它仍然没有被解决,”研究人员告诉ThreatPost。“不过,英国航空公司今天上午已经与我们取得了联系,因此我们希望它很快就能得到解决。”
据英国航空公司称,没有护照或支付信息被获取,也没有证据表明有任何客户信息被窃取。
“我们非常重视客户数据的安全性,”一位英国航空公司的发言人告诉ThreatPost。“与其他航空公司一样,我们意识到这一潜在问题,并正在采取措施确保我们的客户得到安全保护。”
2月份也发现了类似的值机漏洞,影响了8家主要航空公司。其中包括:西南航空、荷航、法航、捷星航空、托马斯库克航空、威林航空、欧罗巴航空和特拉维亚航空。所有航空公司都接到通知,并敦促采取行动确保办理登机手续的联系。
研究人员强调,航空公司需要通过签入过程采用加密,并要求对个人验证信息(PII,personally identifiable information)可访问的所有步骤(尤其是在PII可编辑的情况下)进行明确的用户身份验证。
过去一年里,英国航空公司屡遭网络安全丑闻的困扰。
2018年9月,英国航空公司称,8月该公司网站和移动应用程序发生安全漏洞后,约38万张卡的支付受到影响(该数字后来被修改,以增加18.5万名受害者的官方统计数字)。2019年7月,针对英国航空公司提出了创纪录的2.3亿美元罚款,因为该航空公司2018年的数据泄露影响了50万名客户。
其他航空公司也受到安全问题的打击:8月,加拿大航空表示,2万名手机应用程序用户暴露了护照信息,并要求其手机+应用程序的用户在8月22日至24日之间检测到“异常登录行为”后重新设置帐户。而且,在4月初,Delta表示,“一小部分”客户受到了与第三方服务上的恶意软件相关的数据泄露的影响。
领取专属 10元无门槛券
私享最新 技术干货