香港航空网站爆漏洞 可轻易看其他乘客个资
[媒体名称] 苹果日报 [新闻日期] 出版时间:2018/10/30 09:15
[网址]
https://tw.news.appledaily.com/international/realtime/20181030/1456712/
香港航空电子登机证爆漏洞。 香港《苹果》
https://i.imgur.com/ilasY3v.png
继日前国泰及英航爆出外泄客户资料后,又有航空公司外泄乘客资料。
香港航空最近修改了乘客领取电子登机证的网址,但新网址却出现严重漏洞,
只要在网址末端修改几个字符,便能查阅其他乘客的电子登机证,
甚至只要在港航网站登入其他乘客的电子登机证号码,便能获取该乘客的个人资料。
有资讯科技专家表示,港航可能因而触犯法例,应尽早找出补漏方案。
香港《苹果日报》报导,港航常客陈先生爆料,
他都会透过短信来获取电子登机证的网址,以前获得的是随机产生的短网址,
但日前收到网站更新后的长网址,只要更改网址末端“id=”后仅2个英文字母,
便能够查阅其他乘客的电子登机证,包括QR Code、姓名、乘搭航班等资料;
扫描QR Code后,便能获取电子机票号码。
香港《苹果》尝试随机更改电子登机证网址的英文字母,
就看到不同乘客的电子登机证资料;
只要在香港航空网站“增值服务”一栏中,选取立即预订“预付超额行李”,
输入电子机票号码及姓名后,便能获取该乘客的个人资料,
包括出生日期、旅行证件号码、证件有效期,部分还会显示电话号码及电邮地址。
此一严重漏洞显示,只要取得目前港航电子登机证的网址,就能轻易获取他人的资料。
陈先生对此表示诧异,
“不明白航空公司怎会出现这种低级错误,这样真的有点危险”。
香港资讯科技商会荣誉会长方保侨回应指,
港航网站改制后使登机证资料可轻易被人查看,港航必须负责。
方保侨认为,这次出现个资泄漏问题,应与港航刚进行系统升级有关,
“是一个非常大的安全漏洞”。
他指出,一般情况下,让客人无须登入即可查阅电子登机证,
一般只应显示最简单资料如客人名称、座位、航班编号等,
不应让任何使用者在未登入网站的情况下,就能读取更多个人资讯。
他表示,港航这次改制后出现严重漏洞,
“已不只是牵涉一个人的事”,
港航可能触犯《个人资料条例》,甚至可能要向当局通报,港航应尽早找出补漏方案。
欧盟今年5月25日实施的《通用数据保障条例》,
就规定有关机构需要在72小时内通报,否则有可能被处严重罚则。
香港航空成立于2006年,飞航上海、台北、东京、温哥华等30多个城巿。
港航原为中国海航集团旗下公司,去年海航出脱部分持股,
不过港航仍获中国国家开发银行贷款。
(大陆中心/综合外电报导)