黑客能入侵行李標簽代碼獲取旅客的航班和身份信息
責編:mhshi |2017-01-04 10:40:28訂機票是一件很簡單的事情,但你的權益保障仍取決于黑客是否要來搗亂。德國“安全研究實驗室”的 Karstein Nohl 和 Nemanja Nikodejevic 指出,旅客訂票系統多年來一直未得到足夠的保護。實際上,全球三大處理航班預定服務的“全球分布式系統”(GDS),可通過多個方面被別有用心的人所濫用。
始建于 70-80 年代的 Amadeus、Sabre、Travelport 三套系統,承擔了全球超過 90% 的航班訂票任務。但它們只是結合了更多的現代 Web 基礎設施,而不是被全套替換,意味著系統的身份驗證機制相當脆弱。
GDS 通過 6 位數字作為預定代碼(PNR Locator),該 ID 被直接打印在了登機牌和行李標簽上。
任意接近你行李(或看到旅客登機牌)的人,都可以輕松瞥到(或者用智能機拍張照)。
通過這一代碼, 即可訪問到完整的旅客信息:包括家庭和電子郵件地址、手機/信用卡號碼、常旅客編號、以及當初在線預定該機票的 IP 地址等。
更糟糕的是,黑客甚至無需特定的 ID 來驗證上述信息。無論 GDS 和航空公司網站,通常都不會限制代碼的訪問/檢查次數,因此理論上只要暴力攻擊就能蒙對一次。
此外,遍歷所有旅客的信息也相當容易,因為該 ID 就是順序排列的。對于攻擊者來說,這也極大地減少了他們搜尋特定時間段內旅客信息的工作量。
想要解決這個問題,唯有提升系統的安全性,但方法其實非常簡單。研究人員的建議是,在線服務應該限制每個 IP 訪問旅客記錄的次數,并且通過 Captchas 圖形驗證碼來斷絕暴力窮舉攻擊。
當然,直接替換掉傳統的 6 位數字 ID 也是個好方法,只是實現需要的時間更長。