訂機票是一件很簡單的事情，但你的權益保障仍取決于黑客是否要來搗亂。德國“安全研究實驗室”的 Karstein Nohl 和 Nemanja Nikodejevic 指出，旅客訂票系統多年來一直未得到足夠的保護。實際上，全球三大處理航班預定服務的“全球分布式系統”（GDS），可通過多個方面被別有用心的人所濫用。

始建于 70-80 年代的 Amadeus、Sabre、Travelport 三套系統，承擔了全球超過 90% 的航班訂票任務。但它們只是結合了更多的現代 Web 基礎設施，而不是被全套替換，意味著系統的身份驗證機制相當脆弱。

GDS 通過 6 位數字作為預定代碼（PNR Locator），該 ID 被直接打印在了登機牌和行李標簽上。

任意接近你行李（或看到旅客登機牌）的人，都可以輕松瞥到（或者用智能機拍張照）。

通過這一代碼， 即可訪問到完整的旅客信息：包括家庭和電子郵件地址、手機/信用卡號碼、常旅客編號、以及當初在線預定該機票的 IP 地址等。

更糟糕的是，黑客甚至無需特定的 ID 來驗證上述信息。無論 GDS 和航空公司網站，通常都不會限制代碼的訪問/檢查次數，因此理論上只要暴力攻擊就能蒙對一次。

此外，遍歷所有旅客的信息也相當容易，因為該 ID 就是順序排列的。對于攻擊者來說，這也極大地減少了他們搜尋特定時間段內旅客信息的工作量。

Where_in_the_World_Is_Carmen_Sandiego

想要解決這個問題，唯有提升系統的安全性，但方法其實非常簡單。研究人員的建議是，在線服務應該限制每個 IP 訪問旅客記錄的次數，并且通過 Captchas 圖形驗證碼來斷絕暴力窮舉攻擊。

當然，直接替換掉傳統的 6 位數字 ID 也是個好方法，只是實現需要的時間更長。