更多全球網絡安全資訊盡在E安全官網www.easyaq.com
小編來報:飛行常客會員登錄Krisflyer帳戶後,看到了陌生人的個人詳細信息,包括即將出行的預訂參考號、最近的活動和個人電子郵件。
據ZDNet 1月5日報道,新加坡航空公司(SIA)的一名客戶稱,她登錄了航空公司的飛行常客計劃頁面後,能查看其他人的個人數據。
1月4日,Krisflyer會員登錄了航空公司的網站,發現打開該網站速度比平時緩慢。當第一個頁面加載時,她打開了第二個頁面,當兩個頁面都加載完成後時,她在其中一個頁面上看到了另一個用戶的個人詳細信息,而另一頁面包含了那個用戶和她的數據。
「我看到螢幕上顯示的里程數遠高於我的實際里程數,而且螢幕上顯示的貴賓等級與實際不同,所以我剛開始以為我的帳戶被黑客入侵了。」駐新加坡的營銷主管Tricia Leo說。她告訴ZDNet,她在早些時候登錄了該網站,但當時沒有遇到任何安全問題。
Leo接著點擊了用戶資料,看到了一個與她不同的名字,「Robert Sia」。雖然「我的預訂」中正確列出了即將出發的兩次旅程的詳細信息,但帳戶中列出的電子郵箱詳細信息屬於Robert Sia。
「所以,這意味著如果我變更我的帳戶或航班信息,我的個人信息會通過電子郵件發送給一個完全陌生的人。」她還補充道,包含兩人數據的頁面包括了她的電話號碼和護照號碼,還有Robert Sia的電子郵箱。
在包含Robert Sia個人信息的頁面上,Leo能夠查看Robert Sia即將出發的旅程的預訂參考號,包括目的地和出發日期,以及他最近的交易,比如他使用信用卡積分兌換的里程數,以及最近一次去東京的旅行。點擊此頁面上的用戶資料選項需要OTP (一次性密碼),該密碼應該已發送到Robert Sia的手機上。
新加坡航空公司乘客可以通過在網站上輸入預訂參考號和姓氏來檢索航班預訂的詳細信息。
出於擔憂,Leo撥打了新加坡航空公司的客戶熱線,但呼叫代理稱航空公司正在進行系統升級。隨後,代理讓她註銷帳戶,並在24小時後重新登錄。當她詢問潛在的安全漏洞和其他人是否可以訪問她的個人信息時,代理說新加坡航空公司會在三到五天內做出回應,並再次要求她註銷帳戶,一天後重新登錄帳戶。
[更新: Leo說,航空公司的代理1月5日下午打電話來說,安全問題是由於「軟體bug」,她的個人數據沒有被泄露。該代理補充說,「一些人」也受到了該事件的影響。]
Leo用「不屑一顧」形容第一個代理的語氣,態度與事情的嚴重性不相符。「她聽起來像是敷衍我,而不是實事求是地對待這個問題,她甚至沒有向我解釋情況。」她說,「他們有我護照的詳細資料,包括過期日期,以及我的旅行詳細信息。我認為這很嚴重,我應該得到更好的回應,因為我朋友的旅行詳細信息也在我的帳戶上,他是里程兌換受益人。」
ZDNet已就此事與新加坡航空公司取得聯繫,但新加坡航空公司尚未做出回應。ZDNet還撥打了客戶熱線,這次,熱線代理人承認Leo本不能看到別人的數據,這是一個嚴重的事件。
他說新加坡航空公司沒有提醒客戶安全問題,他也不知道有其他客戶報告了類似的遭遇。該公司每月都進行系統升級,但這些升級應該不會導致任何與安全相關的問題,比如這次Leo的問題。
他建議遇到類似事件的人截圖發送給新加坡航空公司,這樣航空公司的技術團隊就可以進行調查。
Leo說:「對於新加坡航空這樣的大公司來說,發生這種事件是無法接受的。如果沒有正確的測試,如何進行系統升級?令人遺憾的是,這些公司把我們作為人質,要求我們提供詳細的個人信息,但不保證數據安全。當你要求我提供個人數據時,我希望你有合適的技術和系統來保護它。」
「我最近也受萬豪酒店安全漏洞的影響。這些公司得到了一個網頁,但沒有提供任何關於我們該如何解決問題的細節。」她指出,「現在幾乎每隔一周就開始出現安全漏洞。雖然事實不應如此,但我們已經接受了這一現象。」
她補充說,政府需要處以罰款,並實施政策,讓這些公司更加重視安全。她說,像新加坡航空公司這樣的呼叫中心也應該接受更好的培訓,以應對此類事件。
去年2月,新加坡航空公司宣布計劃推出一款基於區塊鏈的數字錢包,允許飛行常客會員使用里程支付合作零售商的購物費用。新加坡航空公司還表示,電子錢包將在新加坡航空公司運營的「私人區塊鏈」上運行,只供商家和合作夥伴使用。
2018年10月,香港航空國泰航空公司報道了一起安全漏洞,涉及940萬名顧客,泄露了姓名、國籍、出生日期和護照號碼等數據,其中包括86萬護照號碼和24.5萬香港身份證號碼。
