近期，英国航空公司电子票务系统曝出信息泄露漏洞，可以让攻击者非法查看乘客的个人数据或更改他们的预订信息。

有研究人员于本周二称，英国航空公司通过电子邮件发送给乘客的乘机登记链接没有进行加密，攻击者很容易从中读取出受害者的预订号码、电话号码、电子邮件地址等信息。研究人员告诉Threatpost，据估计，在过去的六个月里，和英国航空公司有关的存在缺陷的链接共有250万条，因此该漏洞的影响很“显著”。

研究人员在周二的一篇报告中表示：“为了优化用户体验，乘客的个人信息都被包含在英国航空公司的链接中，再通过邮件发送给乘客，乘客可直接点击链接进入英国航空公司网站，查看他们的行程。但由于链接中的数据没有被加密，导致乘客的信息泄露。”

这意味着位于同一公共WiFi网络中的攻击者可以很轻易拦截链接请求，伪装成正常用户，进入乘客的出行页面。更糟糕的是，某些机场早先因其WiFi网络的漏洞而臭名昭著。

攻击者最终可获取受害者的大量个人数据，修改他们的出行信息。具体包括：电子邮件地址、电话号码、会员号码、姓名、预订号、行程、航班号、航班时间、座位号等信息。

这一漏洞最早于今年7月被发现。在研究人员发现这个漏洞后，立马通知了航空公司。

但是，研究人员告诉Threatpost：“我们的研究小组观察到直至本周仍存在信息泄露迹象，我们认为漏洞仍然没有被修复。不过，英国航空公司近期一直在与我们联系，我们也希望能尽快解决这个漏洞。”

据英国航空公司称，泄露信息不涉及护照和付款信息，也没有证据表明有任何客户的信息被窃取。

英国航空公司的一位发言人告诉Threatpost：“我们非常重视客户的数据安全，我们已意识到了这个问题的严重性，正在采取措施确保数据安全。”

今年2月也曾曝出过类似的漏洞，主要涉及8家大型航空公司。包括：Southwest、KLM、Air France、Jetstar、Thomas Cook、Vueling、Air Europa和Transavia。所有航空公司在漏洞被曝出后都接到了通知，被敦促采取行动，确保数据安全。

研究人员强调，航空公司在为客户办理登机手续的过程中一定要对数据进行加密，并对所有访问私人信息的行为进行权限鉴定，特别是当涉及信息编辑时。

英国航空公司在过去一年里屡次受到网络安全丑闻的困扰。

2018年9月，英国航空公司表示，受8月份所曝出的网站和移动应用的漏洞影响，大约有38万张银行卡的受到影响(后来该数字还上涨了18.5万)。2019年7月，英国航空公司被控告要求支付创纪录的2.3亿美元罚款，原因是2018年发生的数据泄露事件影响了该公司的50万名乘客。

其他航空公司常受到安全问题的影响：加拿大航空公司今年8月表示，有2万名移动应用用户的护照信息被泄露，建议所有用户在发现8月22日至24日之间发现“不寻常的登录行为”后修改帐户信息。今年4月初，达美航空表示，“一小部分”客户受到了植入到第三方服务的恶意软件影响，泄露部分敏感数据。

消息来源：https://nosec.org/home/detail/2865.html