近期，西方有網絡安全研究機構警告稱，大型旅游訂票系統缺乏合適的方式來認證航空旅客，這會讓登機牌上的短代碼更容易被黑，從而導致航班信息被篡改或旅客敏感個人信息被盜。

路透社12月27日報道稱，位于柏林的安全研究實驗室（Security Research Labs）發現，作為個人身份識別碼的六位數代碼往往被用來作為個人出行信息的存儲編碼，它們雖然各不相同，但它們的安全系數極低，甚至低于用戶自己設定的簡單用戶名和密碼組合。

　　安全研究實驗室（Security Research Labs）

世界上最大的三個全球機票分銷系統（GDS）——Amadeus, Sabre和Travelport，掌握大部分的出行預訂業務，但在近年來越來越多地感受到來自航空公司、訂票企業和訂票網站的壓力。

實驗室研究員表示：“當人們在網絡上爭論使用哪些要素進行第二、第三步驗證時，全球分銷系統連第一步認證都沒有。”多要素驗證的原理是，用戶提供不同的證據來驗證他們的身份，如密碼、驗證碼或安全問題、或綁定銀行卡、手機等。

在無需多要素驗證的情況下，研究人員能夠在掌握一名旅客姓氏的前提下，就使用計算機在幾小時內猜測出相關聯的訂票號，從而取得旅客出行信息。

旅客姓名記錄（PNR）通常被用來儲存預約信息，這些信息一般關聯著旅客的姓名、出行時間、行程、出票信息、電話和郵箱聯系方式、旅行社、信用卡號、座位號和行李信息等。

但旅客永遠無法知曉誰獲取過他們的信息，因為旅客姓名記錄數據不產生登錄記錄，研究員們解釋，用戶無法自己來保護這些代碼，因為這種權限是由航空公司通過訂票系統來分配的。

研究員們呼吁航空公司采用現代的安全保護措施來抵御這種潛在的攻擊行為，比如它們可以限制每個網絡地址請求獲取旅客姓名記錄的次數，并向旅客提供可更改的密碼，作為最低層次的保護。

安全研究實驗室研究員Karsten Nohl表示，三大全球分銷系統中的Amadeus和Travelport還會按照順序來編排訂票的號碼，這就讓計算機的猜測工作更簡單。通過其網站入口Check MyTrip進行訂票的Amadeus系統尤其脆弱。

澎湃新聞記者查詢資料發現，Sabre和Travelport目前在中國業務相對較少，但Amadeus在中國的業務范圍比較廣。Amadeus目前與中國市場幾乎所有主要旅游企業都有合作關系，針對國航、南航、廈門航空、四川航空和首都航空等航空公司的官網及電商平臺提供技術支持。

在2012年前，中國民航信息網絡股份有限公司（簡稱中航信）是國內唯一的全球機票分銷系統提供商。從2011年開始，民航局才與國內外航空公司、海外GDS和中航信一同商討機票分銷系統政策的修改，并于2012年年中出臺了《外國航空運輸企業在中國境內指定的銷售代理直接進入和使用外國計算機訂座系統審批管理暫行規定》（即計算機訂座新規定），開始允許中國大陸的旅行社、機票代理使用海外機票分銷系統。

2014年，使用Amadeus系統的旅行社和銷售代理于獲得了中國民用航空局頒發的銷售許可證，標志著其針對中國分銷市場的業務正式獲批。

針對安全研究實驗室的報告，Amadeus公司發言人表示：“Amadeus正在評估安全研究實驗室針對旅游行業安全的發現。我們將認真考慮這些研究發現，并與我們的行業合作伙伴一起努力，解決這里暴露的問題，并為潛在的問題尋找解決方案。”

但該發言人也表示：“當然，Amadeus對于我們的系統也是進行保護的，謹防出現報告中所說的自動的機械式攻擊。”

在2015年電腦系統遭受過黑客攻擊的Sabre方面表示：“我們有多層安全保護措施。但談論我們如何保障旅客的安全和隱私，可能會威脅這些保護措施及我們系統的安全性。”