QQ客服:4000600990 客服熱線:4001610866 投訴郵箱:[email protected]

熱門搜索詞

抗D保 IPv6 CN2 功能 漏洞

熱門文章

關注知道創宇云安全

獲取最新安全動態

英國航空公司電子票務系統泄露大量乘客數據

來源:NOSEC 2019.08.16

22.jpg

近期,英國航空公司電子票務系統曝出信息泄露漏洞,可以讓攻擊者非法查看乘客的個人數據或更改他們的預訂信息。

有研究人員于本周二稱,英國航空公司通過電子郵件發送給乘客的乘機登記鏈接沒有進行加密,攻擊者很容易從中讀取出受害者的預訂號碼、電話號碼、電子郵件地址等信息。研究人員告訴Threatpost,據估計,在過去的六個月里,和英國航空公司有關的存在缺陷的鏈接共有250萬條,因此該漏洞的影響很“顯著”。

研究人員在周二的一篇報告中表示:“為了優化用戶體驗,乘客的個人信息都被包含在英國航空公司的鏈接中,再通過郵件發送給乘客,乘客可直接點擊鏈接進入英國航空公司網站,查看他們的行程。但由于鏈接中的數據沒有被加密,導致乘客的信息泄露。”

這意味著位于同一公共WiFi網絡中的攻擊者可以很輕易攔截鏈接請求,偽裝成正常用戶,進入乘客的出行頁面。更糟糕的是,某些機場早先因其WiFi網絡的漏洞而臭名昭著。

攻擊者最終可獲取受害者的大量個人數據,修改他們的出行信息。具體包括:電子郵件地址、電話號碼、會員號碼、姓名、預訂號、行程、航班號、航班時間、座位號等信息。

這一漏洞最早于今年7月被發現。在研究人員發現這個漏洞后,立馬通知了航空公司。

但是,研究人員告訴Threatpost:“我們的研究小組觀察到直至本周仍存在信息泄露跡象,我們認為漏洞仍然沒有被修復。不過,英國航空公司近期一直在與我們聯系,我們也希望能盡快解決這個漏洞。”

 

 

33.jpg

據英國航空公司稱,泄露信息不涉及護照和付款信息,也沒有證據表明有任何客戶的信息被竊取。

英國航空公司的一位發言人告訴Threatpost:“我們非常重視客戶的數據安全,我們已意識到了這個問題的嚴重性,正在采取措施確保數據安全。”

今年2月也曾曝出過類似的漏洞,主要涉及8家大型航空公司。包括:Southwest、KLM、Air France、Jetstar、Thomas Cook、Vueling、Air Europa和Transavia。所有航空公司在漏洞被曝出后都接到了通知,被敦促采取行動,確保數據安全。

研究人員強調,航空公司在為客戶辦理登機手續的過程中一定要對數據進行加密,并對所有訪問私人信息的行為進行權限鑒定,特別是當涉及信息編輯時。

英國航空公司在過去一年里屢次受到網絡安全丑聞的困擾。

2018年9月,英國航空公司表示,受8月份所曝出的網站和移動應用的漏洞影響,大約有38萬張銀行卡的受到影響(后來該數字還上漲了18.5萬)。2019年7月,英國航空公司被控告要求支付創紀錄的2.3億美元罰款,原因是2018年發生的數據泄露事件影響了該公司的50萬名乘客。

其他航空公司常受到安全問題的影響:加拿大航空公司今年8月表示,有2萬名移動應用用戶的護照信息被泄露,建議所有用戶在發現8月22日至24日之間發現“不尋常的登錄行為”后修改帳戶信息。今年4月初,達美航空表示,“一小部分”客戶受到了植入到第三方服務的惡意軟件影響,泄露部分敏感數據。

 

???????消息來源:https://nosec.org/home/detail/2865.html

×
×

身份信息驗證

應國家法律法規相關要求,自2017年6月1日起使用信息發布、即時通信等服務時,需進行身份信息驗證。為保障您對相關服務功能的正常使用,請驗證手機郵箱姓名身份證號,感謝您的支持和理解。

驗證
4001610866 4000600990 關注
中彩网3d试机号