本文讲的是国航爆账号串联漏洞,可“无限”获取他人航班信息,在新京报今天发布的“APP泄露航班信息 80元买到鹿晗航班行程”报道中,曝光了国内某知名航空公司APP存在账号串联漏洞,导致用户身份信息泄漏、航班行程被取消。
报道里没有点明航空公司的名字,不过嘶吼编辑根据提示检索网络资料,发现该航空公司极有可能是国航,而漏洞可能出在国航的订票APP系统上。
用户账号串联漏洞
据新京报采访,林琳(化名)是这次漏洞的受害者之一。由于漏洞影响,她的身份信息、航班订单被串联到周红(化名)的APP账号下。周红看到APP行程里出现陌生航班行程,认为遇到诈骗信息随即选择了取消。
林琳本人的APP账号里也出现三四位陌生人的身份信息和航班行程,身份信息具体包括姓名、联系方式、身份证号、开户银行和卡号等。
图/新京报,林琳的APP上突然多出的航班信息
4月下旬,林琳联系到该APP的工作人员,对方告知:“系统出现错误,导致用户账户出现串联。”并承诺马上修正。半个多小时后,林琳账号上关联的陌生人信息被清除干净。
林琳并非个例,新京报记者还发现,数月前就有不少网友发帖称,自己的APP上出现“不明陌生人”、“他人行程”等问题。
国航的漏洞?
这家航空公司是谁新京报没点名,但稍微搜下很容易找出来,大概是就是国航了。
1、“有数据显示,2016年,该航空公司会员达到4297万人。”这个数据在国航官网挂着,其它几家国内航空公司会员都没这么多。
图截自国航官网
2、“一位网友就在帖子中说,‘每次登录都能刷出其他不同人的身份信息’,‘那是不是我写个脚本一直刷就能获得一大批身份信息?’”这个帖子出自国内某常旅客社区,原帖中网友直接点名国航,帖子里还有他刷到其他用户身份信息的截图。
图截自某常旅客社区
3、上边的APP截图应该也挺好认的吧。
所以,出了这么大的漏洞,国航怎么看呢?
“5月9日…新京报记者发送采访函给该航空公司相关部门,截至记者发稿,未获对方回复。”
原文发布时间为:2017年5月12日
本文作者:longye
本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。