航空公司官網訂票危機四伏,阿聯酋捲入乘客隱私爭議

2018.03.06 by
高敬原
航空公司官網訂票危機四伏,阿聯酋捲入乘客隱私爭議
shutterstock
一名資料安全工程師Konark Modi發現,阿聯酋航空(Emirates)將管理旅客個人行程的連結與第三方網頁追蹤器共享,可能導致行程被竄改,甚至身分被冒用的風險,顯示航空公司在資料隱私保護不夠到位。

訂下一張前往遠方的機票,收拾行李準備出發,訂票的過程旅客提供航空公司相當多個人資訊,先前許多人喜歡拍下登機證上傳社群,資安專家就曾警告可能因此洩漏個資,民眾大多也多具備正確的觀念。

不過,現在就連在航空公司官網訂票的過程也可能危機四伏,一名資料安全工程師Konark Modi就在Medium表示,他發現阿聯酋航空(Emirates)會洩漏旅客資訊給第三方網頁追蹤碼,一旦遭到駭客入侵,不僅航班可能被取消,甚至連護照號碼都有可能被竄改。

行程管理連結與第三方共享,護照資料可能被竄改

我們在航空公司網站完成訂票後,會在email信箱收到一封訂單確認信,其中就包含行程訂單管理連結,供乘客進一步選擇座位以及餐點。

資安工程師Konark Modi就發現,應該只會有乘客、航空公司擁有的行程管理連結,竟然會跟Boxever、Coremetrics、Crazy Egg、Google、Facebook這類第三方行銷網頁追蹤系統共享,共享的資訊包括乘客姓名、email、行程、電話號碼、護照號碼。

阿聯酋航空傳出與第三方行銷網頁追蹤系統共享「行程管理連結」,一不小心就可能發生乘客身分被盜、行程竄改等問題。
Medium

當乘客點擊email中的行程管理連結時,會直接引導用戶至阿聯酋的網站,而這道連結就存有第三方網頁追蹤器代碼,過程中就可能被有心人士攻擊,最可怕的是,可以存取這些連結的人,有能力可以編輯該張訂單的資訊。

Konark Modi 舉例,這可能導致乘客:

  1. 航班被更改或取消
  2. 座位、餐點偏好被更改
  3. 增加訂單品項(像是購買額外行李、升等)
  4. 護照資料被竄改
  5. 飛行常客資料被竄改

小則行程被竄改,大則乘客身分被盜用。 阿聯酋隱私條款就指出,部分乘客的資訊是有可能與第三方共享,但並沒有載明讓第三方擁有更改乘客資料的能力。 Modi 表示他的論點並非要反對使用以行銷為目的的第三方網頁追蹤器,而是分享出去的資料應該要有限度,像「個人行程管理連結」這類資訊根本不應該洩露。

目前資料安全工程師Konark Modi的說法都只是假設,沒有證據顯示這些資料曾經被濫用。
shutterstock

網頁漏洞已被修復,航空公司資料隱私保護亮紅燈

當然,這些說法目前都只是假設,沒有證據顯示這些資料曾經被濫用,但也明確點出航空公司資料隱私保護做得不夠到位。

Modi 表示,在他發現這項問題後,曾在2017年10月向阿聯酋航空反應,隨後網頁漏洞有陸續被修復,不過他發現手機App仍存有一樣的問題。事實上不只是阿聯酋航空,大多數網站都會使用第三方網頁追蹤器來優化用戶體驗,Modi發現像是荷蘭航空(KLM)、漢莎航空(Lufthansa)在他去年十月進行研究時也都有類似的狀況,他認為事實上這些公司都擁有與第三方服務共享資料的控制權,而保護乘客隱私是最基本的承諾,並非一項艱鉅的任務。

延伸閱讀

每日精選科技圈重要消息