时政·财经·军事 | 生活·家庭·娱乐 | 体坛·历史·科技 | 摄影·旅游·文化 | 移民·教育·就业 | 数码·健康·奇闻 | 评论·图片·视频
留园新闻速递· 【繁體閱讀】 【网友评论:0条】 【新西兰本地新闻信息】 

全球44%航空公司中招!别在朋友圈晒机票了,名字打了码也是在“裸奔”......

新闻来源: 发现新西兰 于 2019-01-20 10:01:23  


一年一度春运高峰期马上就要开始了!


想必不少朋友都会选择乘坐飞机回国/回家过年与家人团圆,但是请注意,千万不要在你的朋友圈晒你的出行机票登机牌了。



你要知道不晒机票发朋友圈也是可以登机,飞机也是可以起飞的……



相信很多朋友会问:机票和登机牌到底会泄露什么信息?我给名字打码了还不行?


这一切都要从一个叫Amadeus东西说起......


近日,全球多家媒体报道了这样一起新闻。



全球141家航空公司(占比44%)都会使用的Amadeus(艾玛迪斯)机票预订系统出现了重大安全漏洞,数百万用户旅行记录或被泄露。


很多人会觉得好奇自己就是个普通人,泄露了能有啥问题?


简单说黑客可以轻易查看和修改你的旅行信息,可能带来以下几个重大风险:


你积攒的旅程可以被人兑换到指定账户

你的个人信息包括姓名、护照号、出生日期被掌握

你付款信用卡号等敏感信息也会被掌握

退订你的机票退款到自己账户



举个简单例子说明一下黑客想盗你的信用卡是多么容易:


假如李先生预订了从奥克兰飞往北京的航班,5分钟后他收到了航空公司(假冒的)发来的确认信用卡信息的电子邮件。


这封邮件中显示了他的姓氏、目的地和其他所有准确预订信息。


所有信息都符合,李先生很可能就会点击邮件中的链接,并提供自己的信用卡信息。


近年来报道这样的诈骗手段的新闻屡见不鲜……



那么这个Amadeus系统漏洞跟我们晒机票又有什么关系呢?



01


据悉这次在航空机票预订系统Amadeus出现的重大安全隐患,是由以色列安全研究员Noam Rotem发现的。


研究员指出,漏洞与PNR(乘客姓名记录)系统有关,PNR就是用于航班上给每位乘客制定的唯一标识符号。通常是六位的字母和数字组合,在我们的登机牌上都有显示。



黑客仅需要一个PNR编号就可以获取和修改你的预约信息或飞行记录。


研究员Noam随机写个批量PNR脚本,就能轻松访问许多客户的账户。



你的所有预定信息都一览无余……



可能你会说,那我就把名字、航班号、目的地和PNR码都打上马赛克,这样总行了吧?


图片来源于微博@虚伪的伪君子


这样的确减少了风险,但还是不安全,因为下面的条形码还是会轻易出卖你,条形码里面就包含了你的PNR信息。


图片来源于微博@虚伪的伪君子


那我条形码也打码吧!


这样打码也太费劲了,不如......


这样最安全~


但是这样,你还有发朋友圈的必要吗?


说了这么多,你肯定也好奇Amadeus到底是个什么系统,听起来很厉害的样子,为什么会被盯上?



02


Amadeus(艾玛迪斯)系统是Amadeus公司开发的一套分销系统,就是专门用来预定和管理旅游信息的工具,这套分销系统也叫GDS(Global Distribution System)。



换句话说这就是个中间服务商,这样的中间商全球还有好几个,包括Sabre、Galileo 等等。航空公司、旅行社、比价网及其他许多服务商密切配合,为乘客提供了方便的订票机会。



举个最简单的例子,李先生他要坐国航飞机从奥克兰飞杭州,但是没有直飞得转机,所以这就涉及到两家航空公司得共享信息了。


这个时候GDS就有作用了,各大航空公司签署协议,在GDS系统里互相访问数据进行配对,然后代理商就可以给你提供联程的信息, 以及最后的票价。



这样统一的标准提高了效率也方便了消费者和供应商。


但这个庞大的数据系统出现这样的重大安全漏洞是非常令人们担忧的,毕竟这次危机波及到全球44%的航空公司。



Amadeus系统中合作的航司联盟包括:寰宇一家、星空联盟、天合联盟。


寰宇一家:美国航空公司、国泰航空、柏林航空、澳洲航空等等知名公司。

星空联盟:新西兰航空、中国国际航空、加拿大航空、深圳航空、全日本航空等知名公司。

天合联盟:法国航空、中华航空、中国东方航空等等。



不仅是机票,就在1月17日媒体报道,中东欧和亚太地区等重要市场的旅行社均可直接通过Amadeus预订、购买和改签全域中国铁路车票。


Amadeus支持旅行社使用多种语言进行订票,为在中国旅行面临较大语言障碍的外国旅客提供便利。


火车票系统是否有安全风险目前尚不得而知,但是我们同样应该像保护机票信息一样来保护好你的火车票据。


目前安全漏洞情况反馈到了Amadeus后,该公司表示进行了紧急修复,并且有望引入密码验证机制,而不是现在的普通6位PNR,以防止恶意用户访问旅行者的个人信息。


有专家表示,GDS公司拒绝记录PNR码访问权,这就是为什么绝大多数被盗案例无法追踪的原因。



难道唯有PNR码盗窃行为大肆泛滥,航空公司才会醒悟,未来才会采取行动去重写一个更加安全系统。



03


发现君科普了这么多,可能你会说不是每个人都可以打开你的PNR啊,普通人又没有系统可以查。但是我要告诉你一个不幸的事实,机场地勤或者票台代理甚至是淘宝买一个账号就能用PNR调阅你的信息了。



所以说用不着黑客,任何别有用心的人都可以通过你晒的登机牌或机票而掌握你的私人数据。



///


机票要珍藏就好好保存

就别在朋友圈晒了

不然,还是撕了吧……




- End -

网编:网事随风

鲜花(0)

鸡蛋()
0 条

【手机扫描分享】
新闻速递首页】 【新西兰本地新闻信息】 【地区新闻信息汇总】 【即刻热度新闻

内容来自网络,不代表本网立场,如果有内容违规或侵犯了您的权益,请联系我们,我们核实后会第一时间删除!
前期相关精彩新闻
新闻速递首页·新闻网友报料区·返回前页