當前位置:首頁 > 公司新聞

機票預訂系統缺陷全球141家航空公司的客戶信息受到影響

來源:超時代軟件     更新時間:2019年01月17日 19:01:02

  全球近乎一半使用過機票預訂系統的用戶都暴露在一個關鍵的數據安全漏洞中,黑客破解了在線機票預訂系統,允許他們遠程訪問甚至修改用戶的旅行細節,了解他們的飛行里程。
 

  以色列網絡安全研究員Noam Rotem發現了漏洞,他在以色列航空公司預定了航班ELAL,并成功破解在線機票預訂系統獲取到了客戶的基本信息(乘客的名字記錄)號碼。
 

  這一漏洞源于由Amadeus開發的在線機票預訂系統,目前被近141國際航空公司應用,包括美國聯合航空公司、德國漢莎航空公司和加拿大航空公司。
 

  與ELAL預訂航班后,旅客接收到內線號碼和一個獨特的鏈接,使客戶能夠檢查他們的預訂狀態及相關信息。
 

  Rotem發現僅僅通過改變“RULE_SOURCE_1_ID”參數的值鏈接到別人的內線號碼將顯示個人和booking-related來自賬戶與客戶的相關信息。
 

  使用披露信息,即預訂ID和客戶的姓,攻擊者可以簡單的訪問受害者的賬戶ELAL的客戶門戶和“在個人賬戶中改變飛行里程,分配座位和食物,并更新客戶的電子郵件和電話號碼,然后可以通過客戶服務來取消/更改預訂的機票。”
 

  Rotem也發現Amadeus門戶沒有使用任何強力保護,最終允許攻擊者嘗試每個字母大寫并發使用腳本,找到所有活躍在Amadeus-linked航空公司網站內線號碼的客戶。
 

  你可以看到研究者知道提供的視頻演示一個簡單的腳本由他“猜到”的內線號碼能夠在Amadeus找到對應的信息。
 

  至少141家航空公司使用Amadeus預訂系統,大概估計到該漏洞可能影響數以百萬計的游客。
 

  發現漏洞后,Rotem ELAL立即找出威脅,建議加強航空公司驗證碼,密碼和機器人保護機制以防止強力的破解。
 

  Amadeus已經成功解決了這個問題,以及Rotem腳本可以不再識別活躍PNRs顯示在上面的視頻。
 

  數據安全漏洞發生后,Amadeus開發商回應到:“在Amadeus,我們將不斷監測和更新我們的系統,提高安全性能。并且在發現漏洞后我們的技術團隊立即采取行動,現在可以確認問題已經解決了。”
 

  Amadeus還補充說,該公司還增加了一個復蘇PTR進一步加強安全性,阻止惡意訪問用戶旅客的個人信息。

 

大乐透周一走势图 成都麻将 永利棋牌网? 山西麻将扣点点规则 双色球胆码拖码啥意思 重庆幸运农场1码计划 内蒙古快三 黑龙江36选7前100期开奖号码 经典街机捕鱼 正宗长沙麻将下载 老快3开奖号码查询 浙江20选5基本走势图 北单比分购买技巧