近期,西方有网络安全研究机构警告称,大型旅游订票系统缺乏合适的方式来认证航空旅客,这会让登机牌上的短代码更容易被黑,从而导致航班信息被篡改或旅客敏感个人信息被盗。
路透社12月27日报道称,位于柏林的安全研究实验室(SecurityResearchLabs)发现,作为个人身份识别码的六位数代码往往被用来作为个人出行信息的存储编码,它们虽然各不相同,但它们的安全系数极低,甚至低于用户自己设定的简单用户名和密码组合。
安全研究实验室(SecurityResearchLabs)
世界上最大的三个全球机票分销系统(GDS)——Amadeus,Sabre和Travelport,掌握大部分的出行预订业务,但在近年来越来越多地感受到来自航空公司、订票企业和订票网站的压力。
实验室研究员表示:“当人们在网络上争论使用哪些要素进行第二、第三步验证时,全球分销系统连第一步认证都没有。”多要素验证的原理是,用户提供不同的证据来验证他们的身份,如密码、验证码或安全问题、或绑定银行卡、手机等。
在无需多要素验证的情况下,研究人员能够在掌握一名旅客姓氏的前提下,就使用计算机在几小时内猜测出相关联的订票号,从而取得旅客出行信息。
旅客姓名记录(PNR)通常被用来储存预约信息,这些信息一般关联着旅客的姓名、出行时间、行程、出票信息、电话和邮箱联系方式、旅行社、信用卡号、座位号和行李信息等。
但旅客永远无法知晓谁获取过他们的信息,因为旅客姓名记录数据不产生登录记录,研究员们解释,用户无法自己来保护这些代码,因为这种权限是由航空公司通过订票系统来分配的。
研究员们呼吁航空公司采用现代的安全保护措施来抵御这种潜在的攻击行为,比如它们可以限制每个网络地址请求获取旅客姓名记录的次数,并向旅客提供可更改的密码,作为最低层次的保护。
安全研究实验室研究员KarstenNohl表示,三大全球分销系统中的Amadeus和Travelport还会按照顺序来编排订票的号码,这就让计算机的猜测工作更简单。通过其网站入口CheckMyTrip进行订票的Amadeus系统尤其脆弱。
澎湃新闻记者查询资料发现,Sabre和Travelport目前在中国业务相对较少,但Amadeus在中国的业务范围比较广。Amadeus目前与中国市场几乎所有主要旅游企业都有合作关系,针对国航、南航、厦门航空、四川航空和首都航空等航空公司的