電子登機證爆漏洞 改幾隻字即睇其他乘客個人資料
引用:
繼日前國泰及英航爆出外洩客戶資料後,再有航空公司外洩乘客資料,香港航空最近修改了乘客領取電子登機證的網址,但該新網址卻出現嚴重漏洞,只要在網址末端修改幾個字元,便能查閱其他乘客的電子登機證,透過港航網站登入其他乘客的電子登機證,便能獲取該乘客的個人資料,有資訊科技專家表示港航有機會因而觸犯法例,應儘早找出補漏方案。
有港航乘客陳先生向本報透露,自己一直是港航的常客,每次都會透過短訊來獲取電子登機證的網址,他表示從前獲得的是隨機產生的短網址,但早前收到的是已經修改的長網址,只要更改網址末端「id=」後僅2個英文字母,便能夠查閱到其他乘客的電子登機證,包括QR Code、姓名、乘搭航班等資料,掃瞄QR Code後,便能獲取電子機票號碼。
本報嘗試隨機更改電子登機證網址的英文字母,發現出現不同乘客的電子登機證資料,只要在香港航空網站的「增值服務」一欄中,選取立即預訂「預付超額行李」,輸入電子機票號碼及姓名後,便能獲取該乘客的個人資料,包括出生日期、旅行證件號碼、證件有效期,部分亦會顯示電話號碼及電郵地址。此嚴重漏洞反映出只要獲得現時港航電子登機證的網址,就能夠輕易獲取他人的資料,陳先生對此表示詫異,「唔明點解航空公司會出現咁低級嘅錯誤,其實咁樣真係會有啲危險囉」。
香港資訊科技商會榮譽會長方保僑回應指,改制後令登機證資料可輕易被人查看,港航必須負責。方保僑認為,今次出現洩漏問題,他估計與該航空公司剛進行系統升級有關,「完全是一個非常之大的安全漏洞」,他指,一般情況下讓客人無須登入即可使用登機證,一般只應顯示最簡單資料如客人名稱、座位、航班編號等,但就不應讓任何使用者在未經登入的情況下,讓人有機會讀取更多個人資訊。
他續指,港航今次改制後出現嚴重漏洞,「已不是單單牽涉一個人的事」,該公司有機會觸犯《個人資料(私隱)條例》,該公司甚或要因而向當局通報;與近日國泰所爆出問題,同引致客人資料洩漏,認為港航應儘早找出補漏方案。而歐盟今年5月25日實施的《通用數據保障條例》,規定有關機構需要在72小時內通報,否則有可能被處嚴重罰則。
|
講寒:關我叉事咩?好明顯係O的HIHI不誠實使用電腦咋,好人好者點會無啦啦走去改網址?
