2018-11-02
香港航空被发现其发出的电子登机证怀疑出现严重漏洞。只要修改电子登机证网址,即可查阅其他乘客的登机证号码及航班资料,更可透过官网进一步查阅该乘客的姓名、出生日期、证件号码及有效期等重要个人资料。
这正是 OWASP十大Web应用安全风险之一 A5:2017「失效的访问控制」,编程人员公开不安全的直接对象引用。事件中的航空公司,没有为电子登机证网址上的乘客资料可入加密编码,导致其他人有机会,用修改网址方法,未经授权取览乘客的个人资料。
为避免同类事件发生,建议企业处理敏感资料时,应严格监控及进行身份权限验证,降低骇客利用漏洞,未经验证或授权存取重要资料的风险。另外,不防定期为网络基建及网上应用,作一个全方位的资讯安全评估,侦测潜在的漏洞及威胁。
一般查询 / 销售热线 +60 3 2280 1500
客户服务热线 +60 03 2280 1488
Copyright © 中信国际电讯(信息技术)有限公司 CITIC Telecom International CPC Limited
恭喜您提交信息成功