许多人知道航空公司管理旅客信息的系统相当糟糕,但如果你喜欢在社交网络上到处晒自己的登机牌,后果可能会更加严重。经过几十年的技术进步,航空管理系统却仍然在使用极其简单的 6 位代码,并且“明文”印制在旅客的登机牌上。考虑到 Instagram 上有很多打上了 #boardingpass 标签的内容,别有用心的人很容易根据图片反查到你的隐私信息。 该漏洞早已是个老生常谈的话题,但在今年 Chaos Computer Club 大会上的一场演示,向全世界提醒了航旅信息管理系统早已四处破漏。 安全研究人员 Karsten Nohl 在台上演示了如何通过条码标签信息来登录汉莎航空的网站,并获取到这位倒霉的示例旅客的隐私详情(包括常旅客号),甚至重新安排已预订的航班。 如果一名别有用心的攻击者通过其它手段进入了代理系统,就可以通过相同的代码获得这位旅客的信用卡号码等信息。 整个流程虽显复杂,但我们只需要记住一件简单的事情 —— 没事别瞎在互联网上公布自己的登机牌(以及行李牌),因其暴露的信息远比你想象的还要多。 Where in the World Is Carmen Sandiego (33c3) [编译自:TheVerge, via:Kaspersky Lab] 相关文章: 黑客可通过行李标签代码轻松“解锁”旅客的航班和身份信息
