臨近年關(guān)，所有人都在忙著預(yù)定回家的車票。有了互聯(lián)網(wǎng)，訂票似乎變得特別簡單快捷，選座、買票，一切都可以在手機上完成，到時候去機場或者車站取票登機就可以。確實沒錯，常規(guī)的情況確實是這樣，但是前提是您沒被黑客盯上！目前有消息稱，在我們所有的訂票系統(tǒng)中，飛機票是存在最大的漏洞的呢！

德國的一個安全研究院日前發(fā)布了一份安全報告，顯示我們目前使用的機票預(yù)定系統(tǒng)存在巨大的安全漏洞。3個全世界最大的全球票務(wù)分發(fā)系統(tǒng)（簡稱GDS）不合理地儲存/使用旅客信息，但又做不好相應(yīng)的保護措施。

Amadeus、Sabre、和Travelport三個GDS掌握了90%的訂票行為，而根據(jù)德國這個安全研究員的報告，這三個分發(fā)巨頭的IT系統(tǒng)都極其老舊，源自上世紀(jì)七八十年代，隨著時間的推移，他們只對系統(tǒng)的部分做了更新，而不是整個架構(gòu)的升級。這意味著，這種系統(tǒng)的安全指數(shù)是十分虛弱的。

每個經(jīng)過GDS分發(fā)的機票都會有一個PNR碼（PNR也稱訂座記錄編號，記錄了旅客訂座的完整信息，一般為五位數(shù)字與字母的組合，現(xiàn)已升級到六位），這個編碼被打印在機票和行李簽上，所以只要有人看到或者拍到了你的機票或行李簽，理論上他就可以獲得你訂票時預(yù)留的信息，包括家庭住址、郵箱、電話、信用卡號、常旅客號碼，以及你訂票時的IP地址。

圖片上是PNR碼后面關(guān)聯(lián)的旅客信息，包括郵箱、電話、信用卡號等各種信息。更糟糕的是，GDS作為一個系統(tǒng)可從任意位置訪問，訪問點包括航空公司網(wǎng)站、旅行機構(gòu)和類似CheckMyTrip這樣的第三方網(wǎng)站。兩名研究人員解釋稱，許多航空公司和旅程核查網(wǎng)站根本就不限制預(yù)訂碼輸入的次數(shù)，攻擊者要進行暴力猜測攻擊也就可行了。而且系統(tǒng)還只用大寫字母，猜起來更容易。研究人員演示了針對某個姓氏，找出相應(yīng)預(yù)訂碼的方法，整個過程是完全自動的，只需要數(shù)分鐘黑客便可以通過非常粗暴的方式破解你的密碼。這樣一來，黑客可以變更你的訂票信息，你的行程可能會被取消，或者收到一個你沒有預(yù)定的行程。更常見也更可怕的是可能會有接踵而來的網(wǎng)絡(luò)詐騙——因為騙子已經(jīng)知道了你所有的信息。

更更悲劇的是，GDS數(shù)據(jù)庫中沒有進行日志記錄。由于沒有日志記錄，也無法得知誰訪問了數(shù)據(jù)庫，以及系統(tǒng)中存在多少數(shù)據(jù)濫用。

雖然我們已經(jīng)知道了問題是怎么產(chǎn)生的，也有了升級安全系統(tǒng)的這個方案。限制每個IP訪問訂票信息的次數(shù)，用驗證碼來加固密碼保護。但是，說起來容易做起來難，實現(xiàn)這個問題，或許是一個相對漫長的功能，您覺得呢？

ice

收藏 海報分享