航班訂位系統 Amadeus 重大漏洞, 駭客可輕易取得、更改旅客飛行記錄

圖片來源:https://techcrunch.com/2019/01/15/amadeus-airline-booking-vulnerability-passenger-records/

以色列資安研究人員 Noam Rotem 指出,市佔率達 44%,廣泛用於各大航空公司票務資訊的 Amadeus 系統內含重大安全漏洞。駭客只要取得旅客訂票代號,就能獲取旅客資訊;而透過操弄航空公司網站,駭客可以更改旅客的訂票記錄,例如更改座位、航班班次等等,也能輕易取得旅客的電話、Email、住址等個資。

取得旅客訂票代號的方式也很容易,許多旅客會在社群平台上分享內含加密條瑪的登機證相片,但該條碼的加密早經破解,可以輕易用手機 app 掃瞄並讀出訂票代號。

駭客甚至可以用暴力試誤法,不斷嘗試各種自己產生的訂票代號,從而對應到真實旅客身分與資料,因為該訂票代號是連續號碼,而 Amadeus 系統並未限制錯誤存取次數,甚至也未針對短期間大量存取行為設有任何限制。

資料來源:

  1. https://techcrunch.com/2019/01/15/amadeus-airline-booking-vulnerability-passenger-records/
  2. https://www.scmagazine.com/home/security-news/amadeus-booking-system-flaw-could-have-exposed-info-on-millions-of-travelers

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

Scroll to Top