英国航空公司电子票务系统中再曝漏洞可能使不良行为者能够查看乘客的个人数据或更改其预订信息。
在英国航空公司的电子票务系统中发现的安全漏洞有可能暴露乘客的数据,包括他们的航班预订详情和个人信息。
研究人员周二表示,英国航空公司通过电子邮件向其乘客发送的登机手续链接未加密 - 打开了可能暴露受害者预订参考号码,电话号码,电子邮件地址等的攻击。研究人员告诉Threatpost,他们估计在过去的六个月内,受影响的英国航空公司域名已经有250万个连接,因此潜在的影响是“重要的”。
“为了简化用户体验,乘客详细信息包含在URL参数中,用于指导乘客从电子邮件到英国航空公司网站,他们自动登录,以便他们查看行程并办理登机手续, “ 周二分析说,万德拉的研究人员说。“URL参数中包含的乘客详细信息是预订参考和姓氏,因为链接未加密,所以这两者都是公开的。”
这意味着,在同一公共Wi-Fi网络上窥探的人可以轻松拦截链接请求,自己使用它,然后获得乘客在线办理登机手续的权限。更糟糕的是,一些机场因其风险较高的Wi-Fi 网络而臭名昭着 。
研究人员说,从那里,坏人可以查看受害者的个人数据,或者操纵他们的预订信息。公开信息包括:电子邮件地址,电话号码,BA会员号码,姓名,预订参考,行程,航班号,航班时间和座位号等航班信息。
该漏洞于7月被发现。研究人员表示,在发现这一漏洞后,他们向航空公司通报了这些易受攻击的链接。
研究人员告诉Threatpost,“我们的研究小组观察到本周仍在发生泄漏,因此我们认为它仍然没有固定。” “但是,英国航空公司今天早上已与我们联系,所以我们很快就会得到解决。”
英国航空公司的票务
根据英国航空公司的说法,没有护照或付款信息可以访问,也没有证据表明已经提供任何客户信息。
“我们非常重视客户数据的安全性,”英国航空公司发言人告诉Threatpost。“与其他航空公司一样,我们意识到这一潜在问题,并正在采取行动确保我们的客户得到安全保护。”
2月份发现了类似的登机漏洞,影响了8家主要航空公司。其中包括:西南航空,荷兰皇家航空,法国航空,捷星航空,托马斯库克,Vueling,欧洲航空和Transavia。所有航空公司都收到通知,并敦促他们采取措施确保办理登机手续的链接。
研究人员强调,航空公司需要通过登记流程采用加密,并要求对可以访问PII的所有步骤进行明确的用户身份验证,尤其是在可编辑时。
过去一年,英国航空公司一再受到网络安全丑闻的困扰。
2018年9月, 英国航空公司 表示,在该公司的网站和移动应用程序发生安全漏洞后,大约有380,000张卡付款遭到入侵(该数据后来经过修改,增加了185,000名受害者到官方统计)。2019年7月,英国航空公司提出了2.3亿美元的罚款,因为该航空公司2018年的数据泄露事件影响了该航空公司500,000名客户。
其他航空公司也受到安全问题的影响:8月份,加拿大航空公司表示,有2万名移动应用程序用户暴露了他们的护照信息, 并要求其手机+应用程序的用户在8月22日发现“异常登录行为”后重置帐户 - 24。而且,在4月早些时候,达美表示,“一小部分”客户 受到 与第三方服务上种植的恶意软件相关的数据泄露的影响。
转发是对我们最大的鼓励
帅的都点了看吧↓
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...