以色列資安研究人員 Noam Rotem 指出,市佔率達 44%,廣泛用於各大航空公司票務資訊的 Amadeus 系統內含重大安全漏洞。駭客只要取得旅客訂票代號,就能獲取旅客資訊;而透過操弄航空公司網站,駭客可以更改旅客的訂票記錄,例如更改座位、航班班次等等,也能輕易取得旅客的電話、Email、住址等個資。
取得旅客訂票代號的方式也很容易,許多旅客會在社群平台上分享內含加密條瑪的登機證相片,但該條碼的加密早經破解,可以輕易用手機 app 掃瞄並讀出訂票代號。
駭客甚至可以用暴力試誤法,不斷嘗試各種自己產生的訂票代號,從而對應到真實旅客身分與資料,因為該訂票代號是連續號碼,而 Amadeus 系統並未限制錯誤存取次數,甚至也未針對短期間大量存取行為設有任何限制。
資料來源:
