[新聞] 香港航空網站爆漏洞　可輕易看其他乘客

香港航空網站爆漏洞　可輕易看其他乘客個資 [媒體名稱] 蘋果日報 [新聞日期] 出版時間：2018/10/30 09:15 [網址] https://tw.news.appledaily.com/international/realtime/20181030/1456712/ 香港航空電子登機證爆漏洞。　香港《蘋果》 https://i.imgur.com/ilasY3v.png 繼日前國泰及英航爆出外洩客戶資料後，又有航空公司外洩乘客資料。 香港航空最近修改了乘客領取電子登機證的網址，但新網址卻出現嚴重漏洞， 只要在網址末端修改幾個字元，便能查閱其他乘客的電子登機證， 甚至只要在港航網站登入其他乘客的電子登機證號碼，便能獲取該乘客的個人資料。 有資訊科技專家表示，港航可能因而觸犯法例，應儘早找出補漏方案。 香港《蘋果日報》報導，港航常客陳先生爆料， 他都會透過短訊來獲取電子登機證的網址，以前獲得的是隨機產生的短網址， 但日前收到網站更新後的長網址，只要更改網址末端「id=」後僅2個英文字母， 便能夠查閱其他乘客的電子登機證，包括QR Code、姓名、乘搭航班等資料； 掃描QR Code後，便能獲取電子機票號碼。 香港《蘋果》嘗試隨機更改電子登機證網址的英文字母， 就看到不同乘客的電子登機證資料； 只要在香港航空網站「增值服務」一欄中，選取立即預訂「預付超額行李」， 輸入電子機票號碼及姓名後，便能獲取該乘客的個人資料， 包括出生日期、旅行證件號碼、證件有效期，部分還會顯示電話號碼及電郵地址。 此一嚴重漏洞顯示，只要取得目前港航電子登機證的網址，就能輕易獲取他人的資料。 陳先生對此表示詫異， 「不明白航空公司怎會出現這種低級錯誤，這樣真的有點危險」。 香港資訊科技商會榮譽會長方保僑回應指， 港航網站改制後使登機證資料可輕易被人查看，港航必須負責。 方保僑認為，這次出現個資洩漏問題，應與港航剛進行系統升級有關， 「是一個非常大的安全漏洞」。 他指出，一般情況下，讓客人無須登入即可查閱電子登機證， 一般只應顯示最簡單資料如客人名稱、座位、航班編號等， 不應讓任何使用者在未登入網站的情況下，就能讀取更多個人資訊。 他表示，港航這次改制後出現嚴重漏洞， 「已不只是牽涉一個人的事」， 港航可能觸犯《個人資料條例》，甚至可能要向當局通報，港航應儘早找出補漏方案。 歐盟今年5月25日實施的《通用數據保障條例》， 就規定有關機構需要在72小時內通報，否則有可能被處嚴重罰則。 香港航空成立於2006年，飛航上海、台北、東京、溫哥華等30多個城巿。 港航原為中國海航集團旗下公司，去年海航出脫部分持股， 不過港航仍獲中國國家開發銀行貸款。 　（大陸中心／綜合外電報導） -- Q 臺灣人的需求金字塔 ◢◣ █ 安全、無毒的食物 S █有錢結婚生養小孩 W ◢████◣ █ 買得起的房子 E ◢██████◣ █ 被老闆當人看 E ◢████████◣ █ 下班還來得及和親友吃晚餐 T ▄▄▄▄▄▄▄▄▄▄▄▄ █租得起房子█ 找得到工作 --
※ 批踢踢實業坊(ptt.cc), 來自: 220.134.89.190
※ 文章網址: https://www.ptt.cc/bbs/Aviation/M.1540864146.A.68B.html

推 Django: 管理不善... 10/30 10:19

推 sandiegopadr: 因管理不善而使排名節節下降的......咦? 10/30 10:21

→ taleschia: 國泰：好險這篇不是我 10/30 10:27

推 js52666: 但是有提到XD 10/30 10:44

推 klw3082: 因管理不善而在全球航空公司排名榜節節下跌的國泰航空， 10/30 11:51

→ klw3082: 其競爭對手香港航空 10/30 11:51

推 Clarence: 樓上XDDD 10/30 13:38

推 countryair: 因航不是孤單的 10/30 20:35

推 kipi91718: 5F 專業XD 10/30 22:53

推 lingar: 5樓XDDD 10/30 23:11