回归最本质的信息安全

国航爆账号串联漏洞,可“无限”获取他人航班信息

2017年5月12日发布

8,244
0
0

导语:在新京报今天发布的“APP泄露航班信息 80元买到鹿晗航班行程”报道中,曝光了国内某知名航空公司APP存在账号串联漏洞,导致用户身份信息泄漏、航班行程被取消。

在新京报今天发布的“APP泄露航班信息 80元买到鹿晗航班行程”报道中,曝光了国内某知名航空公司APP存在账号串联漏洞,导致用户身份信息泄漏、航班行程被取消

报道里没有点明航空公司的名字,不过嘶吼编辑根据提示检索网络资料,发现该航空公司极有可能是国航,而漏洞可能出在国航的订票APP系统上。

用户账号串联漏洞

据新京报采访,林琳(化名)是这次漏洞的受害者之一。由于漏洞影响,她的身份信息、航班订单被串联到周红(化名)的APP账号下。周红看到APP行程里出现陌生航班行程,认为遇到诈骗信息随即选择了取消。

林琳本人的APP账号里也出现三四位陌生人的身份信息和航班行程,身份信息具体包括姓名、联系方式、身份证号、开户银行和卡号等

lid75259_b.jpg

图/新京报,林琳的APP上突然多出的航班信息

4月下旬,林琳联系到该APP的工作人员,对方告知:“系统出现错误,导致用户账户出现串联。”并承诺马上修正。半个多小时后,林琳账号上关联的陌生人信息被清除干净。

林琳并非个例,新京报记者还发现,数月前就有不少网友发帖称,自己的APP上出现“不明陌生人”、“他人行程”等问题。

国航的漏洞?

这家航空公司是谁新京报没点名,但稍微搜下很容易找出来,大概是就是国航了。

1、“有数据显示,2016年,该航空公司会员达到4297万人。”这个数据在国航官网挂着,其它几家国内航空公司会员都没这么多。

QQ20170512-182804@2x.png

图截自国航官网

2、“一位网友就在帖子中说,‘每次登录都能刷出其他不同人的身份信息’,‘那是不是我写个脚本一直刷就能获得一大批身份信息?’”这个帖子出自国内某常旅客社区,原帖中网友直接点名国航,帖子里还有他刷到其他用户身份信息的截图。

屏幕快照 2017-05-12 下午6.29.40.png

图截自某常旅客社区

3、上边的APP截图应该也挺好认的吧。

所以,出了这么大的漏洞,国航怎么看呢?

“5月9日…新京报记者发送采访函给该航空公司相关部门,截至记者发稿,未获对方回复。”

本文为嘶吼编辑原创,如若转载,请注明原文地址: http://www.4hou.com/info/news/4729.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

longye

longye

嘶吼编辑

发私信

发表评论