时间:2019-02-12 09:23来源:油菜花 作者:中国航空
漏洞详细信息 来自指定航空公司的未加密登记链接,在某些情况下,其他人可以对预订进行某些更改并打印出登机牌。 一旦乘客访问易受攻击的登记链接,同一网络上的黑客就可以拦截允许访问电子票务系统的凭证。 使用这些凭证,黑客可以在航班起飞前访问电子票务系统,甚至可以多次访问电子票务系统,并访问与预订相关的所有个人身份信息。 “这个漏洞不需要中间人攻击或恶意软件安装才能被利用,”科文顿说。“任何人都使用与乘客相同的网络 - 无线或有线 - 将能够拦截电子票务站点的凭证。” CipherCloud的首席战略办公室Anthony James表示,航空公司“绝对不应该在没有认证的情况下提供电子邮件中提供PII数据的链接” 。 |