全球44%航空公司中招!別在朋友圈曬機票了,名字打了碼也是在「裸奔」……

一年一度春運高峰期馬上就要開始了!

想必不少朋友都會選擇乘坐飛機回國/回家過年與家人團圓,但是請注意,千萬不要在你的朋友圈曬你的出行機票登機牌了。

你要知道不曬機票發朋友圈也是可以登機,飛機也是可以起飛的……

相信很多朋友會問:機票和登機牌到底會泄露什麼信息?我給名字打碼了還不行?

這一切都要從一個叫Amadeus東西說起……

最近,全球多家媒體報導了這樣一起新聞。

全球141家航空公司(占比44%)都會使用的Amadeus(艾瑪迪斯)機票預訂系統出現了重大安全漏洞,數百萬用戶旅行記錄或被泄露。

很多人會覺得好奇自己就是個普通人,泄露了能有什麼問題?

簡單說黑客可以輕易查看和修改你的旅行信息,可能帶來以下幾個重大風險:

  • 你積攢的旅程可以被人兌換到指定帳戶
  • 你的個人信息包括姓名、護照號、出生日期被掌握
  • 你付款信用卡號等敏感信息也會被掌握
  • 退訂你的機票退款到自己帳戶

舉個簡單例子說明一下黑客想盜你的信用卡是多麼容易:

假如李先生預訂了從奧克蘭飛往北京的航班,5分鐘後他收到了航空公司(假冒的)發來的確認信用卡信息的電子郵件。

這封郵件中顯示了他的姓氏、目的地和其他所有準確預訂信息。

所有信息都符合,李先生很可能就會點擊郵件中的鏈接,並提供自己的信用卡信息。

近年來報導這樣的詐騙手段的新聞屢見不鮮……

那麼這個Amadeus系統漏洞跟我們曬機票又有什麼關係呢?

01

據悉這次在航空機票預訂系統Amadeus出現的重大安全隱患,是由以色列安全研究員Noam Rotem發現的。

研究員指出,漏洞與PNR(乘客姓名記錄)系統有關,PNR就是用於航班上給每位乘客制定的唯一標識符號。通常是六位的字母和數字組合,在我們的登機牌上都有顯示。

黑客僅需要一個PNR編號就可以獲取和修改你的預約信息或飛行記錄。

研究員Noam隨機寫個批量PNR腳本,就能輕鬆訪問許多客戶的帳戶。

你的所有預定信息都一覽無餘……

可能你會說,那我就把名字、航班號、目的地和PNR碼都打上馬賽克,這樣總行了吧?

圖片來源於微博@虛偽的偽君子

這樣的確減少了風險,但還是不安全,因為下面的條形碼還是會輕易出賣你,條形碼里面就包含了你的PNR信息。

圖片來源於微博@虛偽的偽君子

那我條形碼也打碼吧!

這樣打碼也太費勁了,不如……

這樣最安全~

但是這樣,你還有發朋友圈的必要嗎?

說了這麼多,你肯定也好奇Amadeus到底是個什麼系統,聽起來很厲害的樣子,為什麼會被盯上?

02

Amadeus(艾瑪迪斯)系統是Amadeus公司開發的一套分銷系統,就是專門用來預定和管理旅遊信息的工具,這套分銷系統也叫GDS(Global Distribution System)。

換句話說這就是個中間服務商,這樣的中間商全球還有好幾個,包括Sabre、Galileo 等等。航空公司、旅行社、比價網及其他許多服務商密切配合,為乘客提供了方便的訂票機會。

舉個最簡單的例子,李先生他要坐國航飛機從奧克蘭飛杭州,但是沒有直飛得轉機,所以這就涉及到兩家航空公司得共享信息了。

這個時候GDS就有作用了,各大航空公司簽署協議,在GDS系統里互相訪問數據進行配對,然後代理商就可以給你提供聯程的信息, 以及最後的票價。

這樣統一的標準提高了效率也方便了消費者和供應商。

但這個龐大的數據系統出現這樣的重大安全漏洞是非常令人們擔憂的,畢竟這次危機波及到全球44%的航空公司。

Amadeus系統中合作的航司聯盟包括:寰宇一家、星空聯盟、天合聯盟。

  • 寰宇一家:美國航空公司、國泰航空、柏林航空、澳洲航空等等知名公司。
  • 星空聯盟:紐西蘭航空、中國國際航空、加拿大航空、深圳航空、全日本航空等知名公司。
  • 天合聯盟:法國航空、中華航空、中國東方航空等等。

不僅是機票,就在1月17日媒體報導,中東歐和亞太地區等重要市場的旅行社均可直接通過Amadeus預訂、購買和改簽全域中國鐵路車票

Amadeus支持旅行社使用多種語言進行訂票,為在中國旅行面臨較大語言障礙的外國旅客提供便利。

火車票系統是否有安全風險目前尚不得而知,但是我們同樣應該像保護機票信息一樣來保護好你的火車票據。

目前安全漏洞情況反饋到了Amadeus後,該公司表示進行了緊急修復,並且有望引入密碼驗證機制,而不是現在的普通6位PNR,以防止惡意用戶訪問旅行者的個人信息。

有專家表示,GDS公司拒絕記錄PNR碼訪問權,這就是為什麼絕大多數被盜案例無法追蹤的原因。

難道唯有PNR碼盜竊行為大肆泛濫,航空公司才會醒悟,未來才會採取行動去重寫一個更加安全系統。

03

發現君科普了這麼多,可能你會說不是每個人都可以打開你的PNR啊,普通人又沒有系統可以查。但是我要告訴你一個不幸的事實,機場地勤或者票台代理甚至是淘寶買一個帳號就能用PNR調閱你的信息了。

所以說用不著黑客,任何別有用心的人都可以通過你曬的登機牌或機票而掌握你的私人數據。

///

機票要珍藏就好好保存

就別在朋友圈曬了

不然,還是撕了吧……

– End –