黑客可通过行李标签代码轻松“解锁”旅客的航班和身份信息

订机票是一件很简单的事情，但你的权益保障仍取决于黑客是否要来捣乱。德国“安全研究实验室”的 Karstein Nohl 和 Nemanja Nikodejevic 指出，旅客订票系统多年来一直未得到足够的保护。实际上，全球三大处理航班预定服务的“全球分布式系统”（GDS），可通过多个方面被别有用心的人所滥用。 始建于 70-80 年代的 Amadeus、Sabre、Travelport 三套系统，承担了全球超过 90% 的航班订票任务。但它们只是结合了更多的现代 Web 基础设施，而不是被全套替换，意味着系统的身份验证机制相当脆弱。 GDS 通过 6 位数字作为预定代码（PNR Locator），该 ID 被直接打印在了登机牌和行李标签上。 任意接近你行李（或看到旅客登机牌）的人，都可以轻松瞥到（或者用智能机拍张照）。 通过这一代码， 即可访问到完整的旅客信息：包括家庭和电子邮件地址、手机/信用卡号码、常旅客编号、以及当初在线预定该机票的 IP 地址等。 更糟糕的是，黑客甚至无需特定的 ID 来验证上述信息。无论 GDS 和航空公司网站，通常都不会限制代码的访问/检查次数，因此理论上只要暴力攻击就能蒙对一次。 此外，遍历所有旅客的信息也相当容易，因为该 ID 就是顺序排列的。对于攻击者来说，这也极大地减少了他们搜寻特定时间段内旅客信息的工作量。

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/