許多人知道航空公司管理旅客信息的系統(tǒng)相當(dāng)糟糕,但如果你喜歡在社交網(wǎng)絡(luò)上到處曬自己的登機(jī)牌,后果可能會(huì)更加嚴(yán)重。經(jīng)過(guò)幾十年的技術(shù)進(jìn)步,航空管理系統(tǒng)卻仍然在使用極其簡(jiǎn)單的 6 位代碼,并且“明文”印制在旅客的登機(jī)牌上。考慮到 Instagram 上有很多打上了 #boardingpass 標(biāo)簽的內(nèi)容,別有用心的人很容易根據(jù)圖片反查到你的隱私信息。
該漏洞早已是個(gè)老生常談的話(huà)題,但在今年 Chaos Computer Club 大會(huì)上的一場(chǎng)演示,向全世界提醒了航旅信息管理系統(tǒng)早已四處破漏。
安全研究人員 Karsten Nohl 在臺(tái)上演示了如何通過(guò)條碼標(biāo)簽信息來(lái)登錄漢莎航空的網(wǎng)站,并獲取到這位倒霉的示例旅客的隱私詳情(包括常旅客號(hào)),甚至重新安排已預(yù)訂的航班。
如果一名別有用心的攻擊者通過(guò)其它手段進(jìn)入了代理系統(tǒng),就可以通過(guò)相同的代碼獲得這位旅客的信用卡號(hào)碼等信息。
整個(gè)流程雖顯復(fù)雜,但我們只需要記住一件簡(jiǎn)單的事情 —— 沒(méi)事別瞎在互聯(lián)網(wǎng)上公布自己的登機(jī)牌(以及行李牌),因其暴露的信息遠(yuǎn)比你想象的還要多。
京公網(wǎng)安備 11010502049343號(hào)