根據八個航空公司的電子入學系統可以通過使用“容易被黑客攔截”的網站鏈接來揭示乘客的個人身份信息(PII)。Wandera,一家企業移動安全和數據管理解決方案公司,在最近的一份報告中。
Wandara說:“我們確定的所有主要航空公司都將乘客數據置於危險之中。”
該公司表示,其威脅研究團隊發現了漏洞。報告解釋說:“被攔截和未加密的鏈接使未經授權的第三方能夠查看,在某些情況下,甚至更改了用戶的飛行預訂詳細信息和/或打印他們的登機通行證。”
因此,黑客可以潛在地攔截允許訪問電子入門系統的憑據,該系統包含與航空公司預訂相關的所有PII。
Wandera表示,“與負責機場安全的相關政府機構分享了其調查結果。”
運輸安全管理局(TSA)發表評論的請求尚未立即可用,但是政府問責辦公室(GAO)已經討論了向國會的審計報告中的類似問題。
一年前,獨立安全評估人員(ISE)檢查了流行的開源票務軟件Osticket,並報告說他們已經確定了“數量”的安全缺陷,並提供了Enhancesoft,該公司贊助了Osticket的開發,並提供了有關漏洞的信息,並提供了有關漏洞的信息及其如何重現。
Wandera said “at the time of research” it's team “identified [the 8] airlines have been sending some unencrypted check-in links through their e-ticketing systems … Our threat researchers discovered that these airlines have sent unencrypted check-in links to passengers. Upon clicking these unencrypted links, a passenger is directed to a site where they are logged in automatically to the check-in for their flight, and in some cases they然後,可以對他們的預訂進行一些更改,並打印出登機牌,”那就是,“與乘客相同網絡上的黑客可以輕鬆攔截鏈接請求,自己使用鏈接請求,然後訪問乘客的在線登機手續。”
Wandera說,受影響的航空公司是:
•西南(世界上最大的低成本航空公司);
•法國空氣;
•KLM;
•Vueling(西班牙的低成本航空公司);
•Jetstar(澳大利亞的低成本航空公司);
•托馬斯·庫克(英國憲章航空公司);
•Transavia(荷蘭低成本航空公司);和
•歐羅巴航空(西班牙第三大航空公司)
Wandera透露:“一旦乘客訪問了脆弱的入住鏈接,黑客就可以輕鬆攔截允許訪問電子入學系統的憑據,其中包含與航空公司預訂相關的所有PII。” “使用這些憑據,攻擊者可以在飛行前的任何時候,甚至多次訪問電子入學系統,並訪問與航空公司預訂相關的所有PII。”
該公司說,可以暴露的不同類型的數據包括:
•電子郵件地址;
•名字;
•姓氏;
•文檔編號(護照/ID);
•文件發行國家;
•文件到期日期;
•預訂參考;
•航班號;
•飛行時間;
•座位分配;
•行李選擇;
•完整的登機通行證;和
•同一預訂的旅行公司的詳細信息
顯然,專家們說,大量的PII可以並且可以從訪問此數據中收集。
Wandara表示,即使它確定為使乘客數據處於風險的每個主要航空公司,該公司指出:“每個單獨的航空公司電子機票系統暴露的數據類型都存在差異。”
Wandera說,繼續進行,它“最初確定了2018年12月上旬的漏洞”,並且“威脅研究團隊都觀察到與旅行有關的乘客細節未加密發送,因為我們有擔保的客戶訪問了上述航空公司之一的E-Ticketing System。
根據Wandera的說法,“然後進行了進一步的調查,以確定是否有任何其他航空公司的電子調理系統同樣容易受到傷害。我們發現,多個航空公司與其電子票式系統有類似的問題。在同時進行文檔和負責任的披露。Wandera在諸如此類的情況下允許vendor neek neek neek neek neeck neek never the verdified。在披露警報公眾的脆弱性之前,相關修復程序。”
根據Wandera的說法,“一旦黑客劫持了乘客的登機手續,他們不僅可以訪問上面列出的一些PII,而且在某些情況下,他們還可以添加或刪除額外的袋子,更改分配的座位並更改與預訂相關的手機號碼或電子郵件。”
推薦Wandera:
•航空公司應在整個簽到過程中採用加密;
•航空公司應需要用戶身份驗證,以便所有可以訪問PII的步驟,尤其是在可編輯的情況下;
•航空公司應使用一次性用品代幣進行電子郵件中的直接鏈接;和,
•用戶應該部署一個活動的移動安全服務來監視和阻止數據洩漏和網絡釣魚攻擊。
