[新聞] 香港航空網站爆漏洞 可輕易看其他乘客

看板 Aviation
作者 deepdish (Keep The Faith)
時間 2018-10-30 09:49:01
留言 10則留言 (8推 0噓 2→)

香港航空網站爆漏洞 可輕易看其他乘客個資 [媒體名稱] 蘋果日報 [新聞日期] 出版時間:2018/10/30 09:15 [網址] https://tw.news.appledaily.com/international/realtime/20181030/1456712/ 香港航空電子登機證爆漏洞。 香港《蘋果》 https://i.imgur.com/ilasY3v.png
繼日前國泰及英航爆出外洩客戶資料後,又有航空公司外洩乘客資料。 香港航空最近修改了乘客領取電子登機證的網址,但新網址卻出現嚴重漏洞, 只要在網址末端修改幾個字元,便能查閱其他乘客的電子登機證, 甚至只要在港航網站登入其他乘客的電子登機證號碼,便能獲取該乘客的個人資料。 有資訊科技專家表示,港航可能因而觸犯法例,應儘早找出補漏方案。 香港《蘋果日報》報導,港航常客陳先生爆料, 他都會透過短訊來獲取電子登機證的網址,以前獲得的是隨機產生的短網址, 但日前收到網站更新後的長網址,只要更改網址末端「id=」後僅2個英文字母, 便能夠查閱其他乘客的電子登機證,包括QR Code、姓名、乘搭航班等資料; 掃描QR Code後,便能獲取電子機票號碼。 香港《蘋果》嘗試隨機更改電子登機證網址的英文字母, 就看到不同乘客的電子登機證資料; 只要在香港航空網站「增值服務」一欄中,選取立即預訂「預付超額行李」, 輸入電子機票號碼及姓名後,便能獲取該乘客的個人資料, 包括出生日期、旅行證件號碼、證件有效期,部分還會顯示電話號碼及電郵地址。 此一嚴重漏洞顯示,只要取得目前港航電子登機證的網址,就能輕易獲取他人的資料。 陳先生對此表示詫異, 「不明白航空公司怎會出現這種低級錯誤,這樣真的有點危險」。 香港資訊科技商會榮譽會長方保僑回應指, 港航網站改制後使登機證資料可輕易被人查看,港航必須負責。 方保僑認為,這次出現個資洩漏問題,應與港航剛進行系統升級有關, 「是一個非常大的安全漏洞」。 他指出,一般情況下,讓客人無須登入即可查閱電子登機證, 一般只應顯示最簡單資料如客人名稱、座位、航班編號等, 不應讓任何使用者在未登入網站的情況下,就能讀取更多個人資訊。 他表示,港航這次改制後出現嚴重漏洞, 「已不只是牽涉一個人的事」, 港航可能觸犯《個人資料條例》,甚至可能要向當局通報,港航應儘早找出補漏方案。 歐盟今年5月25日實施的《通用數據保障條例》, 就規定有關機構需要在72小時內通報,否則有可能被處嚴重罰則。 香港航空成立於2006年,飛航上海、台北、東京、溫哥華等30多個城巿。 港航原為中國海航集團旗下公司,去年海航出脫部分持股, 不過港航仍獲中國國家開發銀行貸款。  (大陸中心/綜合外電報導) -- Q 臺灣人的需求金字塔 ◢◣ 安全、無毒的食物 S 有錢結婚生養小孩 W ◢████◣ 買得起的房子 E ◢██████◣ 被老闆當人看 E ◢████████◣ 下班還來得及和親友吃晚餐 T ▄▄▄▄▄▄▄▄▄▄▄ 租得起房子 找得到工作 --
※ 批踢踢實業坊(ptt.cc), 來自: 220.134.89.190
※ 文章網址: https://www.ptt.cc/bbs/Aviation/M.1540864146.A.68B.html

Django: 管理不善... 10/30 10:19

sandiegopadr: 因管理不善而使排名節節下降的......咦? 10/30 10:21

taleschia: 國泰:好險這篇不是我 10/30 10:27

js52666: 但是有提到XD 10/30 10:44

klw3082: 因管理不善而在全球航空公司排名榜節節下跌的國泰航空, 10/30 11:51

klw3082: 其競爭對手香港航空 10/30 11:51

Clarence: 樓上XDDD 10/30 13:38

countryair: 因航不是孤單的 10/30 20:35

kipi91718: 5F 專業XD 10/30 22:53

lingar: 5樓XDDD 10/30 23:11

您可能感興趣