近在春运高峰期,国内最大的漏洞发布平台Wuyun.com披露了航空公司乘客个人信息泄露的诸多漏洞,包括厦航、上航以及值机常用的APP软件。
30日,记者在Wuyun.com看到,仅1月29日,公司就确认了5个涉及航空公司的漏洞,涉及航空公司B2C系统的沦陷,可查看百万机票信息。民航API系统逻辑缺陷导致出入境实时数据泄露;如果航空公司员工的邮件账号和密码被泄露,可以登录航空公司内部邮件系统。
东航预付费卡系统沦陷
1月29日,五云“白帽”(正面黑客可以识别计算机系统或网络系统中优艾设计网_设计模板的安全漏洞,但不会恶意利用,而是对外公布)“路人甲”披露了“东航预付卡系统沦陷”的漏洞。报告称,该漏洞可导致客户信息和预付卡账户泄露,预付卡6位密码可被爆炸(解码),乘客姓名、身份证号、手机号可能被泄露。
根据Wuyun.com的数据,东航已经确认了漏洞。五云创始人之一孟卓。com,告诉记者,这个漏洞的细节还没有进入公开程序,正在保密阶段。但是,此漏洞可能会导致预付卡中的钱被盗。
不仅仅是东航,记者看到,在五云公布并经企业确认的系统漏洞中,近期有相当比例涉及航空行业,包括厦航、上航以及普遍用于值机的APP软件。
厦门航空称系旧系统
漏洞报告指出,厦航B2B管理系统已经沦陷,可以查看任何客票信息,修改任何代理密码,添加代理等。
厦门航空在确认漏洞时表示,该系统为旧系统,已经停用很长时间。最近因为内部原因,重新开放了测试,里面没有存储乘客信息,所以近期会关闭。“这个漏洞的影响不应该被夸大。”厦门航空表示,“里面的乘客信息是其他航空公司的信息,我们公司已经2年没有使用这个系统了。”
30日,东航称预付卡系统无漏洞,五云“白帽”工程师在进入系统前采取暴力攻击。“如果采用暴力攻击,没有一个系统是绝对安全的。”东航表示,目前东航已采取安全增强措施,加强系统,现在用户账号安全。
精彩评论