安全研究人员已经公开发现,发现英国航空公司的电子票务制度可以给予乘客个人身份信息(PII)的糟糕行动者,强调了设计的重要性。
Ascapt Security Comper Warn的研究人员,通过电子邮件发送给乘客的航空公司的登记册,并轻松截获,使未经授权的缔约方能够查看和更改乘客的航班预订详情和个人信息,研究人员Wandera警告。
潜在的个人数据泄漏的消息是一个月后,英国的隐私看门狗通知英国航空公司的意图发行1830万英镑的GDPR罚款,这对于影响大约50万客户的个人数据泄露,而且在100左右的ANIT系统故障后一周仅为一周航班取消和300次飞行延误。
为了简化用户体验,Wandera研究人员表示乘客细节包含在将乘客从电子邮件引导到英国航空网站的URL参数中,他们可以自动登录,这样他们就可以查看他们的行程并查看他们的行程并检查他们航班。
URL参数中包含的乘客细节是预订参考和姓氏,两者都被暴露,因为链接是未加密的。
这意味着有人在同一个公共Wi-Fi网络上窥探可以轻松拦截链接请求并使用信息来访问乘客在线行程,以窃取更多信息甚至操纵预订信息。
以这种方式暴露的信息将包括名称,电子邮件地址,电话号码,BA会员编号和飞行细节。
Wandera表示,它向2019年7月通知了英国航空公司该漏洞,但几周后,尚未解决脆弱性。然而,英国航空公司每周告诉计算机,它还没有收到Wandera的任何信息与这个问题有关。
英国航空公司并不是唯一通过这种方式暴露乘客细节的航空公司。2019年2月,Wandera发现了一种类似的登记型链接脆弱性,影响八个主要航空公司。
受影响的人是:KLM,法国航空公司,托马斯厨师,Vueling,Air Europa,Jetstar,Southwest和Transavia。“所有航空公司都已通知并敦促采取行动,”Wandera说。
安全公司建议受影响的航空公司应该:
在整个登记过程中采用加密;需要对PII可访问的所有步骤进行显式用户身份验证,尤其是可编辑时;在电子邮件中使用一次性使用令牌进行直接链接;Wandera还建议客户应有部署的主动移动安全服务,以监视和阻止数据泄漏和网络钓鱼攻击。
根据英国航空公司,它有多个系统来保护客户信息,无需访问护照或付款信息,并且没有证据表明已经采取了任何客户数据。
“我们非常认真地掌握客户数据,”一周发言人告诉电脑。“与其他航空公司一样,我们意识到这种潜在的是采取行动,以确保我们的客户仍然存在保护。”
BA和其他航空公司的电子票务系统中的漏洞再次强调了在设计IT系统方面进行了以下最佳实践的重要性,以确保他们是安全的设计,这是英国政府技术创新政策的关键要素。
该原则是在最近发布的Murveillancy Camers Systemand制造商的最佳要求,以及英国2018年10月出版的事物(物联网)设备制造商的理学惯例(COP)的自愿惯例(COP)。
“有几种最佳实践,即英国航空公司根本没有遵循这一点。首先,需要使用HTTPS加密发送给客户的任何类型的URL,“Domaintools的高级安全工程师和恶意软件研究人员Tarik Saleh说。
“这将使这种安全风险降低蝙蝠,”他说。“这将阻止攻击者在URL中看到客户信息以及能够被劫持的链接。
“第二个,涉及处理敏感客户数据的任何URL仍应要求身份验证。这意味着在客户点击英国AirwayStoview的Itinerary发送的URL之后,他们需要输入适当的用户名和密码。即使攻击者能够访问该URL,它们仍然需要用户名和密码。
“这是英国航空公司投资进入更强大信息安全计划的机会,特别是考虑到缓解的步骤比较简单,”他说。
“这种情况说明了开发人员处于强烈的压力来完成功能的发展,因此可能忘记返回返回以确定他们实现的特征的安全影响,”Nabil Hannan表示,主体在Synopsys中管理。
“换句话说,不一定是安全的错误,而是一种安全设计缺陷,”他说。“该缺陷存在于系统设计该检查过程中的存在,并且没有分析作为URL的一部分传输某些数据元素周围的任何含义。”
CESAR CERUDO,Ioactive的首席技术官表示,在构建客户面临的应用时,重点往往是可用性,可扩展性和性能的常见。“尽管所涉及的信息是敏感的,但安全性可能是一个事后的事实。
“虽然航空公司的常见做法是为其硬件和关键航班服务使用第三方渗透测试,但他们经常使用往往受到其压力的团队来测试他们的在线服务和应用,以满足严格的时间截止日期;意思是事情穿过差距。
“雇用经验丰富的第三方,可以像黑客那样思考,有助于确保在任何客户开始使用它的测试阶段之前发现了任何此类漏洞 - 帮助公司避免尴尬,更重要的是确保客户数据仍然存在安全的。”
Javvad Malik,SurnowBe4的安全意识倡导者表示,在URL中发送未加密的电子邮件,肯定远离良好的安全实践。
“鉴于ICO提出的最近英国航空公司的罚款,它不会涂漆一张好的画面,”他说。“然而,对于此攻击成功,攻击者需要将与受害者相同的Wi-Fi网络,以拦截电子邮件并查看预订。因此,威胁有所减少。
“英国航空公司可能很快解决这个问题,但它提醒了用户应该在与公共Wi-Fi热点连接时谨慎行事。”
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。