英航由於去年被黑客入侵,導致在 7 月時被英國資訊專員辦公室罰款 1.83 億英鎊,想不到很快又被發現安全漏洞。英航的電子機票系統被發現存在漏洞,黑客能夠觀看乘客的個人資料,甚至更改他們的預約資料。
Check-in 連結缺乏加密
較早前發現臭蟲的研究人員表示,英航透過電郵向用戶發送的 Check-in 連結並沒有加密,打開之後可能洩露用戶的預約號碼、電話號碼、電郵地址和其他資料,他向外媒表示,估計在過去 6 個月大約有 250 萬個受影響連線。
英航的原意是提升客戶體驗,電郵中提供直接的連結並自動登入,使他們能夠更方便進行 Check-in,可惜該連結的參數正是預約號碼和姓別,而該連結沒有經過加保護完全公開。
相同公共 Wi-Fi 網絡能截取連結並使用
由於該登入連結缺乏加密保護,意味著只要某人與乘客使用相同的公共 Wi-Fi 網絡,就能輕易截取連結並加以利用,然後存取乘客網上 Check-in 的資料,而令事情變得更差的情況是,部份機場料,甚至以危險的 Wi-Fi 網絡而臭名遠播。
在那些地方,有心人能夠觀看受害者的個人資,甚至操縱他們的預約資料,外洩的資料會包括:電郵地址、電話號碼、英航會員編號、乘客姓名、預約編號、行程、航班編號、航班時間和座位等等。該漏洞在 7 月被發現,研究人員表示已通知英航有關連結的漏洞,可惜直至今個星期有關的問題仍然持續,幸好英航方面已經和研究人員聯絡,相信問題很快得以解決。
沒跡象顯示客戶資料已被盜取
根據英航表示,該連結無法存取護照和付款資料,也沒有客戶資料被盜的跡象,公司十分認真看待客戶資料,現正針對潛在的問題正採取行動,讓客戶能得到安全的保護。其實類似的 Check-in 漏洞在今年 2 月時已經發現,當時受影響的包括 8 家主要航空公司,包括:SouthWest、KLM、France、Jetstar、Thomas Cook、Vueling、Air Europa 和 Transavia 航空,所有航空公司被通知後都迅速採取行動令 Check-in 連結變得安全。
不過研究人員認為,除了在 Check-in 連結加入加密程序之外,並且在存取 PII 甚至更改時需要確認用戶身份。
GDPR 條例下可被重罰
在 2018 年 8 月英航因為公司網站和流動應用程式被入侵,聲稱大約 50 萬客戶信用卡資料被盜,令該公司在今年 7 月被判罰款 1.83 億英鎊。而其他航空公司也受保安事故所困擾,加航在去年 8 月聲稱 2 萬流動程式用戶的護照資料外洩,要求用戶在偵測到不正常登入行為後,以 Mobile+ 應用程式重設帳號密碼。在 4 月時 Delta 也聲稱因為惡意程式入侵第三方服務,令一小部份客戶受到資料外洩事件影響。
資料來源:Threat Post
