【PConline 资讯】之前,曾有报道称旅客因将自己的机票晒到网上而导致个人信息被他人滥用,事实证明有时候‘晒’也未必就是一件令人高兴的事。近期,德国“安全研究实验室”的 Karstein Nohl与Nemanja Nikodejevic指出,订票系统多年来未得到足够的保护。 事实上,全球三大处理航班预定服务的“GDS全球分布式系统”,可通过多方面被不法之徒利用。Amadeus、Sabre、Travelport三套系统,承载着全球超过90%的航班订票任务,但只是增加了较多的Web基础设施而非全套替换,导致系统的身份验证机制非常脆弱。 GDS系统通过6位数字作为预定代码(PNR Locator),该ID是直接打印在登机牌和行李标签上的。因此,任意经过你行李箱的人,都可以轻松看到乘客的信息。通过预定代码,即可访问到包括家庭和电子邮件地址、手机/信用卡号码、常旅客编号、以及当初在线预定该机票的IP地址等完整的旅客信息。最糟的是,黑客甚至无需特定的ID来验证这些信息。 不仅如此,GDS系统和航空公司的官方网站,通常不限制代码的被访问/检查次数,因此理论上只要暴力攻击就能蒙对一次,加之ID是顺序排列的,这对攻击者而言,极大地减少了他们搜寻特定时间段内旅客信息的工作量。升级系统的安全性才可解决此类安全隐患。 对此,研究人员建议在线服务应限制每个IP访问旅客记录的次数,并通过Captchas图形验证码来杜绝暴力穷举攻击。当然,直接替换掉传统的6位数字ID也是可行的,只不过实现起来需要更长的时间。 |
正在阅读:6位预定代码成暴露旅客航班和个人信息的元凶6位预定代码成暴露旅客航班和个人信息的元凶
2017-01-03 10:40
出处:PConline原创
责任编辑:sunziyi
热门排行
IT百科
热门专题
网络设备论坛帖子排行
最高点击
最高回复
最新
-
99次
有关阿里云对SaaS行业的思考,看这一篇就够了
1 -
83次
读透《阿里巴巴数据中台实践》,其到底有什么高明之处?
2 -
79次
阿里云“网红"运维工程师白金:做一个平凡的圆梦人
3 -
61次
阿里巴巴“新六脉神剑”背后的故事
4 -
59次
阿里巴巴飞天大数据架构体系与Hadoop生态系统
5 -
46次
智能充电桩解决方案
6 -
44次
易飞扬解析:光模块都有哪些应用场景
7 -
38次
如果你也想做实时数仓…
8 -
34次
实时计算Flink on Kubernetes产品模式介绍
9 -
29次
如何在 Apache Flink 中使用 Python API?
10
汽车资讯
最新资讯离线随时看
聊天吐槽赢奖品