订下一张前往远方的机票,收拾行李准备出发,订票的过程旅客提供航空公司相当多个人资讯,先前许多人喜欢拍下登机证上传社群,资安专家就曾警告可能因此泄漏个资,民众大多也多具备正确的观念。

不过,现在就连在航空公司官网订票的过程也可能危机四伏,一名资料安全工程师Konark Modi就在Medium表示,他发现阿联酋航空(Emirates)会泄漏旅客资讯给第三方网页追踪码,一旦遭到骇客入侵,不仅航班可能被取消,甚至连护照号码都有可能被窜改。

行程管理连结与第三方共享,护照资料可能被窜改

我们在航空公司网站完成订票后,会在email信箱收到一封订单确认信,其中就包含行程订单管理连结,供乘客进一步选择座位以及餐点。

资安工程师Konark Modi就发现,应该只会有乘客、航空公司拥有的行程管理连结,竟然会跟Boxever、Coremetrics、Crazy Egg、Google、Facebook这类第三方行销网页追踪系统共享,共享的资讯包括乘客姓名、email、行程、电话号码、护照号码。

阿联酋航空传出与第三方行销网页追踪系统共享「行程管理连结」,一不小心就可能发生乘客身分被盗、行程窜改等问题。Medium

当乘客点击email中的行程管理连结时,会直接引导用户至阿联酋的网站,而这道连结就存有第三方网页追踪器代码,过程中就可能被有心人士攻击,最可怕的是,可以存取这些连结的人,有能力可以编辑该张订单的资讯。

Konark Modi 举例,这可能导致乘客:

  1. 1. 航班被更改或取消
  2. 2. 座位、餐点偏好被更改
  3. 3. 增加订单品项(像是购买额外行李、升等)
  4. 4. 护照资料被窜改
  5. 5. 飞行常客资料被窜改

小则行程被窜改,大则乘客身分被盗用。阿联酋隐私条款就指出,部分乘客的资讯是有可能与第三方共享,但并没有载明让第三方拥有更改乘客资料的能力。Modi表示他的论点并非要反对使用以行销为目的的第三方网页追踪器,而是分享出去的资料应该要有限度,像「个人行程管理连结」这类资讯根本不应该泄露。

目前资料安全工程师Konark Modi的说法都只是假设,没有证据显示这些资料曾经被滥用。shutterstock

网页漏洞已被修复,航空公司资料隐私保护亮红灯

当然,这些说法目前都只是假设,没有证据显示这些资料曾经被滥用,但也明确点出航空公司资料隐私保护做得不够到位。

Modi 表示,在他发现这项问题后,曾在2017年10月向阿联酋航空反应,随后网页漏洞有陆续被修复,不过他发现手机App仍存有一样的问题。事实上不只是阿联酋航空,大多数网站都会使用第三方网页追踪器来优化用户体验,Modi发现像是荷兰航空(KLM)、汉莎航空(Lufthansa)在他去年十月进行研究时也都有类似的状况,他认为事实上这些公司都拥有与第三方服务共享资料的控制权,而保护乘客隐私是最基本的承诺,并非一项艰巨的任务。