网站便捷导航 - 百度XML地图 - RSS 订阅 - 设为首页 - 加入收藏
您的当前位置:主页 > 房产 > 二手房 > 主要航空公司面临登机系统缺陷的风险,Wandera宝祥彩票平台报告

主要航空公司面临登机系统缺陷的风险,Wandera宝祥彩票平台报告

来源:太平洋游戏网 编辑:落锦鲤 时间:2019-09-02 点击:5558

现代航空旅行提供的便利设施包括能够获得电子机票,提供旅行预订和座位登记信息。事实证明,对于一些主要航空公司而言,乘客的便利性并未得到妥善保障,使用户和航空公司都面临风险。

安全公司Wandera在2月6日报告发现航空公司检查-影响多家航空公司的漏洞,包括西南航空,法国航空,荷兰皇家航空,Vueling,捷星航空,托马斯库克,Transavia和欧洲航空公司。这个漏洞相对简单,因为航空公司一直通过电子邮件发送未加密的登机链接给乘客。链接未加密,未经授权的第三方可能会截获或重复使用它们来更改预订的详细信息并获取用户信息。

“我们的研究人员观察到未加密的网络流量流向航空公司服务器具有敏感内容的“万德拉产品副总裁MichaelCovington告诉eWEEK。”经过进一步调查,我们发现URL字符串上的这些数据可疑参数实际上被用于透明地认证将用户引入电子票务网站。“

进一步阅读Brinqa如何为网络风险带来可行的见解...Splunkvs.LogRhythm:SIEMHead-to-Head

Wandera提供包含数据泄漏保护的移动安全解决方案。Covington指出,Wandera技术专门监控可能通过网络发送的个人身份信息(用户名,密码,信用卡号等)-无论是本机移动应用程序还是浏览器-无需加密。

科文顿说,通过不限制电子票务登记入住一次性使用,航空公司开放电子票务系统直至重播攻击,允许攻击者轻松获取乘客帐户。

<披露

Wandera在2018年12月和2019年1月经历了负责任地向受影响航空公司披露漏洞的过程。

“我们一直在与一些航空公司进行沟通当他们回应我们负责任的披露并调查如何解决这个漏洞时,“科文顿说。”

虽然万德拉警告航空公司存在风险,但科文顿指出,研究人员未能证实所有的已经实施了所需的修复。此时,还不清楚未加密的URL是否曾经被恶意使用过.Carvington说Wandera没有任何证据证明这个漏洞被利用,只有航空公司可以评论迄今为止发生的任何滥用行为。

“我认为有很多人会试图从乘客数据的销售中获利,”他说。

至于为什么这个缺陷首先存在,科文顿表示,他相信这个漏洞会影响多个平台。虽然航空公司的一部分可能使用通用平台,但这些系统的通信方式存在足够的变化,他认为这涉及多个电子票务系统。

“我怀疑这可归结为一个行业全面决定使在线办理登机手续变得容易;他们“基本上优先考虑可用性而不是安全性”,他说,“如果他们只是让电子邮件/短信链接一次性使用,整个问题就会消失。”

这里的课程是什么?

关于航空公司的课程,科文顿有一些重要的建议:

加密一切。此漏洞浮出水面是因为航空公司未能使用加密来保护唯一识别乘客的敏感参数。采用一次性使用令牌来访问电子票务系统。即使没有加密,也可以通过简单地防止重新使用签入链接来解决此漏洞。通过电子邮件和短信向乘客提供的启动登记过程的链接应该是一次性使用。

文章链接地址:http://www.playing4.com/fangchan/ershoufang/201909/5283.html

相关文章:

精心推荐

Copyright © 2019 宝祥彩票平台 Inc.

Top