英国航空公司电子票务系统可以揭露乘客细节
三个更多的身份提供者退出困扰的Gov.uk验证计划
作为补丁星期二方法,暂时关闭自动更新,特别是 - 脱离IE
Goldman Sachs如何迁移到云本机软件开发
Microsoft为CVE-2019-1367 IE零日释放更多修补程序,并且错误是域日
补丁周二之后:NSA Crypt32威胁是真实的,但尚未迫在眉睫
数字转换驾驶安全重新思考
谷歌声音值得关注(再次)
研究探讨了全纤维的经济效益,5G在地方一级
网络钓鱼的最佳安全威胁
面试:Abdul Nasser Al Mughairbi,Digital,Abu Dhabi国家石油公司
微软眨眼:安全必需品将继续在1月14日之后接收更新
沃达丰在爱尔兰5克开关
Verizon给5G,FiOS客户一年的免费迪士尼内容
Google Workspace针对新的一层前线工人
EDR如何超越端点
6个iOS移动企业的优秀应用程序
东南亚组织温暖到Anthos
虚拟仪器以使用公分添加云监控
歌剧跳上跟踪阻挡者
Omniplan 4为Mac,iPhone,iPad提供强大的项目管理
Microsoft将Intune与ConfigMGR结合起来
APAC是经济经济经济的震中
Microsoft启动团队公共预览企业
六月累积更新导致网络打印机的多个问题
最新的Firefox更新中有什么?88股:斯蒂维速度JavaScript跟踪器
遇见警察使用面部识别可能是非法的,发现报告
获得1月2020年的修补程序周二修补程序
NHS英国扩展了新的创新项目的资金
企业挑战安全基础知识
“这个星球等不及,”普通厨师说,因为苹果变得碳中性
常问问题:微软的新边缘解释了
鸭鸭Go提供Mac用户甚至更多隐私
正确的CPU如何帮助您的HCI到达顶级装备
Google重新定位Gmail作为视频,聊天和Doc Access的协作集线器
Lloyd的,英国劳动力超过一半的劳动力缺乏重要的数字技能
伦敦通过Synergy研究小组命名为全球零售枢顶中心
司法部出版公共云安全基线
Adobe塑造速度休息
使用Patch Tuesday此处,请确保Windows Update暂停
Apple将Mac迁移到2021年的ARM芯片?
第一个英国地区的士兵群岛才能获得5克
ICO到衣柜衣柜申请人
行业说,鲍里斯约翰逊有12个月的改革宽带政策
为什么PSD2在荷兰采用落后
代理史密斯移动恶意软件击中数百万个设备
金融法案草案私营部门希望在4月2020年4月撤销IR35改革
思科将人们见解的分析添加到WebEx
Microsoft STRIPS从Windows 10中的未来功能升级的手动推迟,引用“混乱”
Maersk的技术负责人表示,Notpetya提供行业范围的课程
您的位置:首页 >行业动态 >

英国航空公司电子票务系统可以揭露乘客细节

2021-09-03 11:44:02 [来源]:

安全研究人员已经公开发现,发现英国航空公司的电子票务制度可以给予乘客个人身份信息(PII)的糟糕行动者,强调了设计的重要性。

Ascapt Security Comper Warn的研究人员,通过电子邮件发送给乘客的航空公司的登记册,并轻松截获,使未经授权的缔约方能够查看和更改乘客的航班预订详情和个人信息,研究人员Wandera警告。

潜在的个人数据泄漏的消息是一个月后,英国的隐私看门狗通知英国航空公司的意图发行1830万英镑的GDPR罚款,这对于影响大约50万客户的个人数据泄露,而且在100左右的ANIT系统故障后一周仅为一周航班取消和300次飞行延误。

为了简化用户体验,Wandera研究人员表示乘客细节包含在将乘客从电子邮件引导到英国航空网站的URL参数中,他们可以自动登录,这样他们就可以查看他们的行程并查看他们的行程并检查他们航班。

URL参数中包含的乘客细节是预订参考和姓氏,两者都被暴露,因为链接是未加密的。

这意味着有人在同一个公共Wi-Fi网络上窥探可以轻松拦截链接请求并使用信息来访问乘客在线行程,以窃取更多信息甚至操纵预订信息。

以这种方式暴露的信息将包括名称,电子邮件地址,电话号码,BA会员编号和飞行细节。

Wandera表示,它向2019年7月通知了英国航空公司该漏洞,但几周后,尚未解决脆弱性。然而,英国航空公司每周告诉计算机,它还没有收到Wandera的任何信息与这个问题有关。

英国航空公司并不是唯一通过这种方式暴露乘客细节的航空公司。2019年2月,Wandera发现了一种类似的登记型链接脆弱性,影响八个主要航空公司。

受影响的人是:KLM,法国航空公司,托马斯厨师,Vueling,Air Europa,Jetstar,Southwest和Transavia。“所有航空公司都已通知并敦促采取行动,”Wandera说。

安全公司建议受影响的航空公司应该:

在整个登记过程中采用加密;需要对PII可访问的所有步骤进行显式用户身份验证,尤其是可编辑时;在电子邮件中使用一次性使用令牌进行直接链接;

Wandera还建议客户应有部署的主动移动安全服务,以监视和阻止数据泄漏和网络钓鱼攻击。

根据英国航空公司,它有多个系统来保护客户信息,无需访问护照或付款信息,并且没有证据表明已经采取了任何客户数据。

“我们非常认真地掌握客户数据,”一周发言人告诉电脑。“与其他航空公司一样,我们意识到这种潜在的是采取行动,以确保我们的客户仍然存在保护。”

BA和其他航空公司的电子票务系统中的漏洞再次强调了在设计IT系统方面进行了以下最佳实践的重要性,以确保他们是安全的设计,这是英国政府技术创新政策的关键要素。

该原则是在最近发布的Murveillancy Camers Systemand制造商的最佳要求,以及英国2018年10月出版的事物(物联网)设备制造商的理学惯例(COP)的自愿惯例(COP)。

“有几种最佳实践,即英国航空公司根本没有遵循这一点。首先,需要使用HTTPS加密发送给客户的任何类型的URL,“Domaintools的高级安全工程师和恶意软件研究人员Tarik Saleh说。

“这将使这种安全风险降低蝙蝠,”他说。“这将阻止攻击者在URL中看到客户信息以及能够被劫持的链接。

“第二个,涉及处理敏感客户数据的任何URL仍应要求身份验证。这意味着在客户点击英国AirwayStoview的Itinerary发送的URL之后,他们需要输入适当的用户名和密码。即使攻击者能够访问该URL,它们仍然需要用户名和密码。

“这是英国航空公司投资进入更强大信息安全计划的机会,特别是考虑到缓解的步骤比较简单,”他说。

“这种情况说明了开发人员处于强烈的压力来完成功能的发展,因此可能忘记返回返回以确定他们实现的特征的安全影响,”Nabil Hannan表示,主体在Synopsys中管理。

“换句话说,不一定是安全的错误,而是一种安全设计缺陷,”他说。“该缺陷存在于系统设计该检查过程中的存在,并且没有分析作为URL的一部分传输某些数据元素周围的任何含义。”

CESAR CERUDO,Ioactive的首席技术官表示,在构建客户面临的应用时,重点往往是可用性,可扩展性和性能的常见。“尽管所涉及的信息是敏感的,但安全性可能是一个事后的事实。

“虽然航空公司的常见做法是为其硬件和关键航班服务使用第三方渗透测试,但他们经常使用往往受到其压力的团队来测试他们的在线服务和应用,以满足严格的时间截止日期;意思是事情穿过差距。

“雇用经验丰富的第三方,可以像黑客那样思考,有助于确保在任何客户开始使用它的测试阶段之前发现了任何此类漏洞 - 帮助公司避免尴尬,更重要的是确保客户数据仍然存在安全的。”

Javvad Malik,SurnowBe4的安全意识倡导者表示,在URL中发送未加密的电子邮件,肯定远离良好的安全实践。

“鉴于ICO提出的最近英国航空公司的罚款,它不会涂漆一张好的画面,”他说。“然而,对于此攻击成功,攻击者需要将与受害者相同的Wi-Fi网络,以拦截电子邮件并查看预订。因此,威胁有所减少。

“英国航空公司可能很快解决这个问题,但它提醒了用户应该在与公共Wi-Fi热点连接时谨慎行事。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。