临近年关,所有人都在忙着预定回家的车票。有了互联网,订票似乎变得特别简单快捷,选座、买票,一切都可以在手机上完成,到时候去机场或者车站取票登机就可以。确实没错,常规的情况确实是这样,但是前提是您没被黑客盯上!目前有消息称,在我们所有的订票系统中,飞机票是存在最大的漏洞的呢!
德国的一个安全研究院日前发布了一份安全报告,显示我们目前使用的机票预定系统存在巨大的安全漏洞。3个全世界最大的全球票务分发系统(简称GDS)不合理地储存/使用旅客信息,但又做不好相应的保护措施。
Amadeus、Sabre、和Travelport三个GDS掌握了90%的订票行为,而根据德国这个安全研究员的报告,这三个分发巨头的IT系统都极其老旧,源自上世纪七八十年代,随着时间的推移,他们只对系统的部分做了更新,而不是整个架构的升级。这意味着,这种系统的安全指数是十分虚弱的。
每个经过GDS分发的机票都会有一个PNR码(PNR也称订座记录编号,记录了旅客订座的完整信息,一般为五位数字与字母的组合,现已升级到六位),这个编码被打印在机票和行李签上,所以只要有人看到或者拍到了你的机票或行李签,理论上他就可以获得你订票时预留的信息,包括家庭住址、邮箱、电话、信用卡号、常旅客号码,以及你订票时的IP地址。
图片上是PNR码后面关联的旅客信息,包括邮箱、电话、信用卡号等各种信息。更糟糕的是,GDS作为一个系统可从任意位置访问,访问点包括航空公司网站、旅行机构和类似CheckMyTrip这样的第三方网站。两名研究人员解释称,许多航空公司和旅程核查网站根本就不限制预订码输入的次数,攻击者要进行暴力猜测攻击也就可行了。而且系统还只用大写字母,猜起来更容易。研究人员演示了针对某个姓氏,找出相应预订码的方法,整个过程是完全自动的,只需要数分钟黑客便可以通过非常粗暴的方式破解你的密码。这样一来,黑客可以变更你的订票信息,你的行程可能会被取消,或者收到一个你没有预定的行程。更常见也更可怕的是可能会有接踵而来的网络诈骗——因为骗子已经知道了你所有的信息。
更更悲剧的是,GDS数据库中没有进行日志记录。由于没有日志记录,也无法得知谁访问了数据库,以及系统中存在多少数据滥用。
虽然我们已经知道了问题是怎么产生的,也有了升级安全系统的这个方案。限制每个IP访问订票信息的次数,用验证码来加固密码保护。但是,说起来容易做起来难,实现这个问题,或许是一个相对漫长的功能,您觉得呢?