香港航空網站爆漏洞 可輕易看其他乘客個資
[媒體名稱] 蘋果日報 [新聞日期] 出版時間:2018/10/30 09:15
[網址]
https://tw.news.appledaily.com/international/realtime/20181030/1456712/
香港航空電子登機證爆漏洞。 香港《蘋果》
https://i.imgur.com/ilasY3v.png
繼日前國泰及英航爆出外洩客戶資料後,又有航空公司外洩乘客資料。
香港航空最近修改了乘客領取電子登機證的網址,但新網址卻出現嚴重漏洞,
只要在網址末端修改幾個字元,便能查閱其他乘客的電子登機證,
甚至只要在港航網站登入其他乘客的電子登機證號碼,便能獲取該乘客的個人資料。
有資訊科技專家表示,港航可能因而觸犯法例,應儘早找出補漏方案。
香港《蘋果日報》報導,港航常客陳先生爆料,
他都會透過短訊來獲取電子登機證的網址,以前獲得的是隨機產生的短網址,
但日前收到網站更新後的長網址,只要更改網址末端「id=」後僅2個英文字母,
便能夠查閱其他乘客的電子登機證,包括QR Code、姓名、乘搭航班等資料;
掃描QR Code後,便能獲取電子機票號碼。
香港《蘋果》嘗試隨機更改電子登機證網址的英文字母,
就看到不同乘客的電子登機證資料;
只要在香港航空網站「增值服務」一欄中,選取立即預訂「預付超額行李」,
輸入電子機票號碼及姓名後,便能獲取該乘客的個人資料,
包括出生日期、旅行證件號碼、證件有效期,部分還會顯示電話號碼及電郵地址。
此一嚴重漏洞顯示,只要取得目前港航電子登機證的網址,就能輕易獲取他人的資料。
陳先生對此表示詫異,
「不明白航空公司怎會出現這種低級錯誤,這樣真的有點危險」。
香港資訊科技商會榮譽會長方保僑回應指,
港航網站改制後使登機證資料可輕易被人查看,港航必須負責。
方保僑認為,這次出現個資洩漏問題,應與港航剛進行系統升級有關,
「是一個非常大的安全漏洞」。
他指出,一般情況下,讓客人無須登入即可查閱電子登機證,
一般只應顯示最簡單資料如客人名稱、座位、航班編號等,
不應讓任何使用者在未登入網站的情況下,就能讀取更多個人資訊。
他表示,港航這次改制後出現嚴重漏洞,
「已不只是牽涉一個人的事」,
港航可能觸犯《個人資料條例》,甚至可能要向當局通報,港航應儘早找出補漏方案。
歐盟今年5月25日實施的《通用數據保障條例》,
就規定有關機構需要在72小時內通報,否則有可能被處嚴重罰則。
香港航空成立於2006年,飛航上海、台北、東京、溫哥華等30多個城巿。
港航原為中國海航集團旗下公司,去年海航出脫部分持股,
不過港航仍獲中國國家開發銀行貸款。
(大陸中心/綜合外電報導)