英国航空公司再次遭到安全界的抨击,这次他的电子票务系统漏洞被发现暴露了乘客的个人信息(PII)。
安德鲁公司昨天在一篇博文中称,该航空公司正在向客户发送未加密的登记链接,其中包含 URL 本身的预订参考和姓氏。
“因此,有人窥探同一公共 Wi-Fi 网络可以轻松拦截链接请求,其中包括预订参考和姓氏,并使用这些详细信息访问乘客的在线行程,以窃取更多信息或操纵预订信息,“该公司解释说。
通过访问客户的帐户,黑客可以访问更多身份信息,包括全名,行程,电子邮件地址,电话号码等等 - 所有这些信息都可用于潜在的后续网络钓鱼攻击和身份欺诈。
早在 2月份,Wandera 在西南航空,荷兰航空,法国航空,捷星航空,托马斯库克,Vueling,欧洲航空和 Transavia 发送的登机手续链接中发现了同样的漏洞。
该公司建议航空公司使用一次性代币在电子邮件中直接链接,并要求对可以访问和编辑 PII 的所有步骤进行明确的用户身份验证。
消息传出之际,由于安全失败导致 Magecart 攻击者从其网站收集客户详细信息,因此 BA 仍在筹集 1.83 亿英镑的 GDPR 罚款。
笔测试者 IOActive 的首席技术官 Cesar Cerrudo 认为,开发人员关注的焦点往往是可用性,性能和可扩展性,而不是安全性。
“遗忘的是存储数据的敏感程度,”他补充说。
“然而,虽然航空公司通常使用第三方渗透测试来进行硬件和关键飞行服务,但他们经常使用经常受到 IT 压力的团队在内部测试他们的在线服务和应用,以满足严格的时间限制; 意思是事情在间隙中滑落。“
Cybereason 的首席信息安全官以色列巴拉克称赞 BA 承认这一事件并承诺解决这一问题。
“对于航空公司而言,这几乎不是一次淘汰赛。对于与英国航空公司或其他航空公司一起飞行的消费者,他们应该假设他们的个人信息遭到多次侵害,“他补充道。
“作为一个行业,在我们开始让网络犯罪对对手无利可图之前,他们将继续持有可能产生巨额赔付的卡片。”