Wandera在BA的电子票务流程中发现了未加密的链接,英国航空公司在其在线办理登机手续的电子票务过程中发现通过电子邮件向客户发送未加密的链接后,将乘客个人信息置于危险之中。
万德拉安全公司的研究人员说,这些登记链接很容易被攻击者拦截,例如那些潜伏在公共Wi-Fi网络上的人,并允许恶意行为者查看和更改乘客的航班预订详情和个人信息。
“为了简化用户体验,乘客详细信息包含在URL参数中,用于指导乘客从电子邮件到英国航空公司网站,他们自动登录,以便他们查看行程并办理登机手续, “Wandera解释道。“URL参数中包含的乘客详细信息是预订参考和姓氏,因为链接未加密,所以这两者都是公开的。”
该漏洞可能涉及的其他信息包括电子邮件地址,电话号码,会员编号,姓名,预订参考,行程,航班号,航班时间,座位号和行李限额。
在有人从其网络访问BA的电子票务系统之后,Wandera的威胁研究团队在上个月发现了这个漏洞。该公司此前发现了影响航空公司的类似漏洞,如西南航空,荷兰航空,法国航空,捷星航空,托马斯库克,Vueling,欧洲航空和Transavia。
它建议航空公司在整个登记过程中采用加密,要求用户身份验证以获取可访问个人信息的步骤,利用一次性时间令牌进行电子邮件链接并确保用户部署移动安全。
Cybereason的首席信息安全官以色列巴拉克说:“英国航空公司的漏洞再次揭示了航空公司的困难,所有公司都在保护其组织的骨干 – 客户数据。
“这也不是第一个漏洞,因为据报道今年早些时候有多达10家航空公司正在调查类似的漏洞。感谢英国航空公司承认这一事件并让他们迅速解决任何悬而未决的问题。
“对于与英国航空公司或其他航空公司一起飞行的消费者,他们应该假设他们的个人信息已被多次泄露。“
此消息是在伦敦希思罗机场,盖特威克机场和城市机场延迟或取消近300个航班后,当BA面临重大IT中断时。7月份,GDPR违规行为被罚款1.83亿英镑。