咨詢服務熱線

400-6446-808

行業新聞
您的當前位置:首頁 > 行業新聞
Amadeus 訂票系統驚爆高危漏洞 影響全球近半數航企!!!
發布者:創信華通  發布時間:2019-02-26  浏覽量:1072次

    外(wài)媒報道稱,被全球近半數國際航空公司所使用的Amadeus機票預訂系統,近日被曝存在一(yī)個嚴重的安全漏洞,使得黑客能夠輕松查看和更改旅客信息、退訂旅客機票。據悉,該漏洞由Noam Rotem與安全偵探研究實驗室發現,影響全141國際航空公司(占比44%)。

image.png


Rotem展示可通過PNR代碼更改任何乘客的航班信息


      通過刷新機票預訂網頁的特定元素(RULE_SOURCE_1_ID),Rotem能夠查看他被Amadeus紀錄任何客戶的PNR名稱和航班詳情。拿到PNR和姓名之後,攻擊者能夠登陸任何受影響的航空公司門戶網站,竊取旅客的航空裏程、冒充用戶取消航班,變更座位、甚至用餐計劃。

綜上所述,問題的關鍵,在于PNR代碼上。遺憾的是,航空公司及其客戶并沒有受到完全的保護。

image.png

Rotem寫了一(yī)個簡單的腳本,能夠生(shēng)成随機的PNR代碼,并成功訪問了許多客戶的賬戶。(圖爲Rotem 腳本示例)

      Rotem及時将該問題反饋給了以色列航空公司EL AL,後者又(yòu)轉告了 Amadeus 安全團隊。萬幸的是,Amadeus安全團隊修補了這方面的漏洞。不過爲了進一(yī)步加強安全性,Amadeus增加了一(yī)個Recovery PTR,以防止惡意用戶訪問旅行者的個人信息。

image.png


    Amadeus在聲明中(zhōng)稱:“我(wǒ)司一(yī)直将安全放(fàng)在首位,并持續監控和更新我(wǒ)們的系統。在獲知(zhī)該問題後,安全團隊迅速采取了行動,當前問題已經得到解決”。

來源:cnBeta


下(xià)一(yī)條:用密碼技術護航網絡安全