一位匿名读者引用了《连线》杂志的一篇报道:一家航空公司将所有乘客的旅行记录暴露给黑客,这会使其成为间谍活动的诱人目标。不太明显但对间谍来说可能更有用的是访问涵盖10家不同航空公司的高级旅行服务,该服务本身的详细航班信息容易被数据窃贼获取,而且似乎受到国际外交官的青睐。一个网络安全研究团队在Airportr身上发现了这一点。Airportr是一家总部位于英国的行李服务公司,它与航空公司合作,让其主要在英国和欧洲的用户付费领取、托运并送至目的地的行李。CyberX9公司的研究人员发现,Airportr网站上的简单漏洞使他们能够访问几乎所有用户的个人信息,包括旅行计划,甚至获得管理员权限,使黑客可以重定向或窃取运输途中的行李。研究人员审查并与《连线》杂志分享的少量用户数据样本中,竟然发现了疑似英国、瑞士和美国多名政府官员和外交官的个人信息和旅行记录。Airportr 首席执行官兰德尔·达比 (Randel Darby) 在提交给《连线》杂志的一份书面声明中证实了 CyberX9 的发现,但他指出,Airportr 在研究人员于去年 4 月告知公司这些问题后不久就禁用了其网站后端的易受攻击部分,并在几天内修复了问题。达比在一份声明中写道:“这些数据仅由道德黑客访问,目的是建议改进 Airportr 的安全性,我们迅速的响应和缓解措施确保了不会出现进一步的风险。我们非常重视保护客户数据的责任。” 而 CyberX9 的研究人员则反驳道,他们发现的漏洞如此简单,这意味着无法保证其他黑客没有先访问过 Airportr 的数据。他们发现,一个相对简单的网络漏洞允许他们更改任何用户的密码,只要掌握用户的电子邮件地址,就能访问他们的帐户——而且他们还可以暴力破解电子邮件地址,且网站上没有任何速率限制。因此,他们可以访问包括所有客户姓名、电话号码、家庭住址、详细旅行计划和历史记录、机票、登机牌和航班详情、护照图像以及签名在内的数据。CyberX9 的研究人员表示,通过访问管理员帐户,黑客还可以利用他们发现的漏洞,利用 Airportr 的数据访问航空公司网站上的客户帐户,从而重定向行李、窃取行李,甚至取消航班。研究人员表示,他们还可以利用这些访问权限以 Airportr 的名义发送电子邮件和短信,这存在潜在的网络钓鱼风险。Airportr 告诉《连线》杂志,其拥有 9.2 万名用户,并在其网站上声称已为客户处理了超过 80 万件行李。 […] 研究人员发现,他们可以在注册 Airportr 并创建新密码时监控浏览器的通信,然后重复使用从这些通信中截获的 API 密钥,将其他用户的密码更改为他们想要的任何密码。该网站还缺乏“速率限制”安全措施,该措施可以防止自动猜测电子邮件地址以快速更改每个用户帐户的密码。研究人员还找到了 Airportr 管理员的电子邮件地址,这使得他们能够接管这些管理员的帐户并获得对公司数据和运营的权限。“任何人都可以,或者可能已经获得了对该公司所有运营和数据的绝对超级管理员访问权限,”CyberX9 的创始人兼首席执行官 Himanshu Pathak 表示。“这些漏洞导致所有国家/地区使用该公司服务的航空公司客户的机密私人信息完全暴露,包括对所有预订和行李的完全控制。因为一旦你成为他们最敏感系统的超级管理员,你就有能力做任何事情。”
在 Slashdot 上阅读更多内容。