本文講的是<b>國航爆賬号串聯漏洞,可“無限”擷取他人航班資訊</b>,在新京報今天釋出的“APP洩露航班資訊 80元買到鹿晗航班行程”報道中,曝光了國内某知名航空公司APP存在賬号串聯漏洞,導緻使用者身份資訊洩漏、航班行程被取消。
報道裡沒有點明航空公司的名字,不過嘶吼編輯根據提示檢索網絡資料,發現該航空公司極有可能是國航,而漏洞可能出在國航的訂票APP系統上。
使用者賬号串聯漏洞
據新京報采訪,林琳(化名)是這次漏洞的受害者之一。由于漏洞影響,她的身份資訊、航班訂單被串聯到周紅(化名)的APP賬号下。周紅看到APP行程裡出現陌生航班行程,認為遇到詐騙資訊随即選擇了取消。
林琳本人的APP賬号裡也出現三四位陌生人的身份資訊和航班行程,身份資訊具體包括姓名、聯系方式、身份證号、開戶銀行和卡号等。
圖/新京報,林琳的APP上突然多出的航班資訊
4月下旬,林琳聯系到該APP的從業人員,對方告知:“系統出現錯誤,導緻使用者賬戶出現串聯。”并承諾馬上修正。半個多小時後,林琳賬号上關聯的陌生人資訊被清除幹淨。
林琳并非個例,新京報記者還發現,數月前就有不少網友發帖稱,自己的APP上出現“不明陌生人”、“他人行程”等問題。
國航的漏洞?
這家航空公司是誰新京報沒點名,但稍微搜下很容易找出來,大概是就是國航了。
1、“有資料顯示,2016年,該航空公司會員達到4297萬人。”這個資料在國航官網挂着,其它幾家國内航空公司會員都沒這麼多。
圖截自國航官網
2、“一位網友就在文章中說,‘每次登入都能刷出其他不同人的身份資訊’,‘那是不是我寫個腳本一直刷就能獲得一大批身份資訊?’”這個文章出自國内某常旅客社群,原帖中網友直接點名國航,文章裡還有他刷到其他使用者身份資訊的截圖。
圖截自某常旅客社群
3、上邊的APP截圖應該也挺好認的吧。
是以,出了這麼大的漏洞,國航怎麼看呢?
“5月9日…新京報記者發送采訪函給該航空公司相關部門,截至記者發稿,未獲對方回複。”
原文釋出時間為:2017年5月12日
本文作者:longye
本文來自雲栖社群合作夥伴嘶吼,了解相關資訊可以關注嘶吼網站。
<a href="http://www.4hou.com/info/news/4729.html" target="_blank">原文連結</a>