2018-11-02
香港航空被發現其發出的電子登機證懷疑出現嚴重漏洞。只要修改電子登機證網址,即可查閱其他乘客的登機證號碼及航班資料,更可透過官網進一步查閱該乘客的姓名、出生日期、證件號碼及有效期等重要個人資料。
這正是 OWASP十大Web應用安全風險之一 A5:2017「失效的訪問控制」,編程人員公開不安全的直接對象引用。事件中的航空公司,沒有為電子登機證網址上的乘客資料可入加密編碼,導致其他人有機會,用修改網址方法,未經授權取覽乘客的個人資料。
為避免同類事件發生,建議企業處理敏感資料時,應嚴格監控及進行身份權限驗證,降低駭客利用漏洞,未經驗證或授權存取重要資料的風險。另外,不防定期為網絡基建及網上應用,作一個全方位的資訊安全評估,偵測潛在的漏洞及威脅。
一般查詢 / 銷售熱線 +852 2170 7401
客戶服務熱線 +852 2331 8930
Copyright © 中信國際電訊(信息技術)有限公司 CITIC Telecom International CPC Limited
恭喜您提交信息成功