示意圖,與新聞事件無關。

適逢歐美年終假期旅遊旺季,德國資安公司Security Research Labs卻提出警告,各大航空公司、旅行社採用的全球定位系統存在嚴重安全漏洞,駭客可以輕易透過暴力式破解法取得旅客的訂位代碼,進而獲取其個人資訊,甚至竄改班機行程。
 
目前全球主要訂位系統(GDS)如Amadeus、Sabre與Travelport等,多半採用5到6位數結合英文字母與數字的訂位代碼(PNR)作為儲存旅客個資與行程的依據,包括姓名、旅遊日期、行程細節、票務規定、電話號碼、電子郵件、訂位旅行社、信用卡號、班機座位號碼與行李資訊等,都可透過該訂位代碼取得。
 
旅客僅需要提供訂位代碼與姓氏英文拼音,便可取得上述資料,甚至向航空公司更改機上座位、行程、飛行日期等,或是藉由取得的資料,來取信旅客進而進行其他詐騙。
 
SRLabs公司表示,由於主要訂位系統發放訂位代碼的方式具備一定規範,使得透過電腦進行強制排列找出特定姓氏對應的訂位代碼變得容易,依據採用電腦運算能力的不同,在數小時內便可猜出特定旅客的訂位代碼。
 
該公司表示,Amadeus與Travelport兩個訂位系統甚至是以序列方式發放訂位代碼,讓強制運算猜碼變得更容易,該公司並指控Amadeus與其開放供一般用戶使用的CheckMyTrip網站,是三大系統中最脆弱的,但Amadeus已經在進行相關安全性評估。
 
事實上,由於這些訂位系統多半是從70與80年代,因應航空公司電子化管理訂位紀錄而開始發展,其訂位代碼的安全性早就遭受質疑,但隨著越來越多航空公司推出線上查詢、更改訂位服務,但又缺乏限制同一IP位置短時間內大量登入嘗試的機制,讓駭客利用暴力解碼方式來猜出旅客訂位代號變得可能。
 
該公司建議,在全球定位系統增加其他認證機制前,所有提供透過旅客訂位代碼與姓氏來查詢、更改旅遊行程的網站,都應該增加防制暴力猜碼的機制,或至少加上人機辨識功能(CAPTCHA),降低該漏洞的風險。

 


Advertisement

更多 iThome相關內容