航班訂位系統 Amadeus 重大漏洞,駭客可輕易取得、更改旅客飛行記錄
- 發布單位:TWCERT/CC
- 更新日期:2020-05-26
- 點閱次數:677
資安研究者發現各大航空公司用以交換票務資訊的 Amadeus 訂位系統存有重大漏洞,駭客可以輕易取得並更改旅客的訂位資訊。受影響的旅客達上千萬人。
以色列資安研究人員 Noam Rotem 指出,市佔率達 44%,廣泛用於各大航空公司票務資訊的 Amadeus 系統內含重大安全漏洞。駭客只要取得旅客訂票代號,就能獲取旅客資訊;而透過操弄航空公司網站,駭客可以更改旅客的訂票記錄,例如更改座位、航班班次等等,也能輕易取得旅客的電話、Email、住址等個資。
取得旅客訂票代號的方式也很容易,許多旅客會在社群平台上分享內含加密條瑪的登機證相片,但該條碼的加密早經破解,可以輕易用手機 app 掃瞄並讀出訂票代號。
駭客甚至可以用暴力試誤法,不斷嘗試各種自己產生的訂票代號,從而對應到真實旅客身分與資料,因為該訂票代號是連續號碼,而 Amadeus 系統並未限制錯誤存取次數,甚至也未針對短期間大量存取行為設有任何限制。
參考連結:
https://techcrunch.com/2019/01/15/amadeus-airline-booking-vulnerability-passenger-records/
https://www.scmagazine.com/home/security-news/amadeus-booking-system-flaw-could-have-exposed-info-on-millions-of-travelers/