全球航空訂位系統安全堪虞，駭客可輕易擅改機票行程 - iThome

目前全球主要訂位系統(GDS)如Amadeus、Sabre與Travelport等，多半採用5到6位數結合英文字母與數字的訂位代碼(PNR)作為儲存旅客個資與行程的依據，包括 ... 移至主內容 按讚加入iThome粉絲團 文/陳文義 | 2016-12-28發表 適逢歐美年終假期旅遊旺季，德國資安公司SecurityResearchLabs卻提出警告，各大航空公司、旅行社採用的全球定位系統存在嚴重安全漏洞，駭客可以輕易透過暴力式破解法取得旅客的訂位代碼，進而獲取其個人資訊，甚至竄改班機行程。

  目前全球主要訂位系統(GDS)如Amadeus、Sabre與Travelport等，多半採用5到6位數結合英文字母與數字的訂位代碼(PNR)作為儲存旅客個資與行程的依據，包括姓名、旅遊日期、行程細節、票務規定、電話號碼、電子郵件、訂位旅行社、信用卡號、班機座位號碼與行李資訊等，都可透過該訂位代碼取得。

  旅客僅需要提供訂位代碼與姓氏英文拼音，便可取得上述資料，甚至向航空公司更改機上座位、行程、飛行日期等，或是藉由取得的資料，來取信旅客進而進行其他詐騙。

  SRLabs公司表示，由於主要訂位系統發放訂位代碼的方式具備一定規範，使得透過電腦進行強制排列找出特定姓氏對應的訂位代碼變得容易，依據採用電腦運算能力的不同，在數小時內便可猜出特定旅客的訂位代碼。

  該公司表示，Amadeus與Travelport兩個訂位系統甚至是以序列方式發放訂位代碼，讓強制運算猜碼變得更容易，該公司並指控Amadeus與其開放供一般用戶使用的CheckMyTrip網站，是三大系統中最脆弱的，但Amadeus已經在進行相關安全性評估。

  事實上，由於這些訂位系統多半是從70與80年代，因應航空公司電子化管理訂位紀錄而開始發展，其訂位代碼的安全性早就遭受質疑，但隨著越來越多航空公司推出線上查詢、更改訂位服務，但又缺乏限制同一IP位置短時間內大量登入嘗試的機制，讓駭客利用暴力解碼方式來猜出旅客訂位代號變得可能。

  該公司建議，在全球定位系統增加其他認證機制前，所有提供透過旅客訂位代碼與姓氏來查詢、更改旅遊行程的網站，都應該增加防制暴力猜碼的機制，或至少加上人機辨識功能(CAPTCHA)，降低該漏洞的風險。

  iThomeSecurity 熱門新聞 超過30萬Android用戶自GooglePlay下載了含有後門的行動程式 2021-11-30 9款知名品牌Wi-Fi路由器含有逾200個潛在漏洞 2021-12-03 樹莓派打算要上市了 2021-11-29 微軟Edge先買後付功能遭批開倒車、令人失望 2021-11-29 臺企銀揭露網銀系統翻新過程，2階段轉型系統架構，先容器化再導入微服務技術 2021-12-01 別再縱容與擱置不當組態設定！Google發現這類高風險執行個體最快半小時就會遭侵入 2021-11-29 據傳中國駭客打算收集已加密的高價值資料，待量子電腦取得重大突破後立即解密 2021-12-01 Fintech周報第202期：證期局祭出3大資安分級要求，要求上千家上市櫃公司需設對應資安人力與編制 2021-12-02 Advertisement iThomeSecurity 2021iThome鐵人賽 專題報導 臺灣第一輛自駕貨車上路 Line2021AI生產力大改造 中國信託服務力的進化 Julia資料科學新女神降臨 公有雲物件儲存服務2021總覽 更多專題報導