|
【PConline 资讯】之前,曾有报道称旅客因将自己的机票晒到网上而导致个人信息被他人滥用,事实证明有时候‘晒’也未必就是一件令人高兴的事。近期,德国“安全研究实验室”的 Karstein Nohl与Nemanja Nikodejevic指出,订票系统多年来未得到足够的保护。 事实上,全球三大处理航班预定服务的“GDS全球分布式系统”,可通过多方面被不法之徒利用。Amadeus、Sabre、Travelport三套系统,承载着全球超过90%的航班订票任务,但只是增加了较多的Web基础设施而非全套替换,导致系统的身份验证机制非常脆弱。 GDS系统通过6位数字作为预定代码(PNR Locator),该ID是直接打印在登机牌和行李标签上的。因此,任意经过你行李箱的人,都可以轻松看到乘客的信息。通过预定代码,即可访问到包括家庭和电子邮件地址、手机/信用卡号码、常旅客编号、以及当初在线预定该机票的IP地址等完整的旅客信息。最糟的是,黑客甚至无需特定的ID来验证这些信息。
不仅如此,GDS系统和航空公司的官方网站,通常不限制代码的被访问/检查次数,因此理论上只要暴力攻击就能蒙对一次,加之ID是顺序排列的,这对攻击者而言,极大地减少了他们搜寻特定时间段内旅客信息的工作量。升级系统的安全性才可解决此类安全隐患。
对此,研究人员建议在线服务应限制每个IP访问旅客记录的次数,并通过Captchas图形验证码来杜绝暴力穷举攻击。当然,直接替换掉传统的6位数字ID也是可行的,只不过实现起来需要更长的时间。 |
