訂下一張前往遠方的機票,收拾行李準備出發,訂票的過程旅客提供航空公司相當多個人資訊,先前許多人喜歡拍下登機證上傳社群,資安專家就曾警告可能因此洩漏個資,民眾大多也多具備正確的觀念。
不過,現在就連在航空公司官網訂票的過程也可能危機四伏,一名資料安全工程師Konark Modi就在Medium表示,他發現阿聯酋航空(Emirates)會洩漏旅客資訊給第三方網頁追蹤碼,一旦遭到駭客入侵,不僅航班可能被取消,甚至連護照號碼都有可能被竄改。
行程管理連結與第三方共享,護照資料可能被竄改
我們在航空公司網站完成訂票後,會在email信箱收到一封訂單確認信,其中就包含行程訂單管理連結,供乘客進一步選擇座位以及餐點。
掌握最新AI、半導體、數位趨勢!訂閱《數位時代》日報及社群活動訊息
資安工程師Konark Modi就發現,應該只會有乘客、航空公司擁有的行程管理連結,竟然會跟Boxever、Coremetrics、Crazy Egg、Google、Facebook這類第三方行銷網頁追蹤系統共享,共享的資訊包括乘客姓名、email、行程、電話號碼、護照號碼。
當乘客點擊email中的行程管理連結時,會直接引導用戶至阿聯酋的網站,而這道連結就存有第三方網頁追蹤器代碼,過程中就可能被有心人士攻擊,最可怕的是,可以存取這些連結的人,有能力可以編輯該張訂單的資訊。
Konark Modi 舉例,這可能導致乘客:
- 航班被更改或取消
- 座位、餐點偏好被更改
- 增加訂單品項(像是購買額外行李、升等)
- 護照資料被竄改
- 飛行常客資料被竄改
小則行程被竄改,大則乘客身分被盜用。 阿聯酋隱私條款就指出,部分乘客的資訊是有可能與第三方共享,但並沒有載明讓第三方擁有更改乘客資料的能力。 Modi 表示他的論點並非要反對使用以行銷為目的的第三方網頁追蹤器,而是分享出去的資料應該要有限度,像「個人行程管理連結」這類資訊根本不應該洩露。
網頁漏洞已被修復,航空公司資料隱私保護亮紅燈
當然,這些說法目前都只是假設,沒有證據顯示這些資料曾經被濫用,但也明確點出航空公司資料隱私保護做得不夠到位。
Modi 表示,在他發現這項問題後,曾在2017年10月向阿聯酋航空反應,隨後網頁漏洞有陸續被修復,不過他發現手機App仍存有一樣的問題。事實上不只是阿聯酋航空,大多數網站都會使用第三方網頁追蹤器來優化用戶體驗,Modi發現像是荷蘭航空(KLM)、漢莎航空(Lufthansa)在他去年十月進行研究時也都有類似的狀況,他認為事實上這些公司都擁有與第三方服務共享資料的控制權,而保護乘客隱私是最基本的承諾,並非一項艱鉅的任務。
