他们使用未加密的链接，黑客可以很容易地拦截。然后，华宇代理第二代串行接口NAND系列由八种产品组成，具有2.70至3.60V和1.70至1.95V的电源电压。现在华宇总代理可提供样品，并计划于10月开始批量生产。黑客可以查看甚至在某些情况下更改受害者的机票预订信息，或打印他们的登机牌。

 

根据Wandera的数据，法航、Vueling、Jetstar、Thomas Cook、Transavia和Air Europa也有这个问题。

 

“Wandera调查了全球40多家航空公司使用的电子售票系统，”该公司产品副总裁迈克尔·科温顿(Michael Covington)说。

 

他告诉TechNewsWorld:“目前，只有那些有足够时间对我们负责任的信息披露做出回应的机构才会被列入受影响的航空公司名单。”

 

在公开披露漏洞之前，Wandera给供应商四周的时间提供补丁或相关的修复。

 

Covington表示，该公司一直在与"一些受影响的航空公司"沟通，但尚未能证实是否已实施任何修复措施。

 

发现的缺陷

 

Wandera在去年12月初发现了这一漏洞。此前，该公司获悉，一名访问了8家航空公司其中一家电子票务系统的客户，在没有加密的情况下，被发送了与旅行相关的乘客信息。

 

然后研究了其他航空公司的电子票务系统是否也同样脆弱。

 

Wandera在记录漏洞时通知了受影响的航空公司。

 

它还与负责机场安全的政府机构分享了调查结果。

 

漏洞细节

 

来自指定航空公司的未加密登机链接将乘客引导到一个站点，在那里他们将自动登录到他们航班的登机功能。在某些情况下，他们可以对他们的预订进行某些更改并打印出他们的登机牌。

 

一旦乘客访问了易受攻击的检票链接，同一网络上的黑客就可以截获允许访问电子票务系统的凭据。

 

使用这些凭证，黑客可以在飞机起飞前的任何时间甚至多次访问电子票务系统，并访问与预订相关的所有个人身份信息。

 

Covington说:“这个漏洞不需要中间人攻击或安装恶意软件才能被利用。”“任何使用与乘客相同网络的人——无论是无线还是有线——都可以截获电子售票网站的凭证。”

 

CipherCloud首席战略官安东尼•詹姆斯(Anthony James)表示，航空公司“不应在未经身份验证的情况下，在电子邮件中提供PII数据链接”。

 

“这对我们来说毫无意义，只有HY华宇注册专利WaveRunner 8000HD才能以非常低的噪声提供通道，带宽和采集存储器的这种组合，以解开并解决这些电源转换，嵌入式控制系统和华宇官方电源完整性问题。”他告诉TechNewsWorld。

 

不同航空公司的系统公开不同类型的数据。

 

暴露的数据可能包括以下内容:

 

电子邮件地址

 

姓和名

 

护照或身份证信息——包括证件号码、签发国家和有效期

 

预订的引用

 

航班号及时间

 

座位安排

 

行李的选择

 

完整的登机牌

 

部分信用卡资料

 

预订旅游公司的详细信息

 

危险

 

在获取乘客的登机信息后，黑客不仅可以访问受害者的PII，还可以添加或删除额外的行李、更改已分配的座位、更改与预订相关的手机号码或电子邮件。

 

Wandera说，一些机场的登机牌检查质量有问题，这增加了黑客或罪犯打印受害者的登机牌并试图用它登机的可能性。

 

另一方面，CipherCloud的詹姆斯指出，黑客寻找的目标是提供高回报的投资。“拦截带有机票链接的电子邮件只会获得一个旅行者的PII。”

 

此外，“一切都要靠登机和带照片的身份证件才能通过安检，”詹姆斯说。“带照片的身份证仍然是安全程序的后盾。”

 

明确并呈现网络危险

 

多年来，安全专家一直建议旅行者避免使用公共WiFi网络和酒店网络进行重要的通信。

“在未加密的无线网络或典型的有线酒店或办公室网络上，网络流量更容易被拦截，”Wandera的科温顿指出。

 

他指出，“对攻击者来说，观察在运营商网络上发生的连接更具挑战性”，但航空公司应该“解决一些基本的安全问题”。

 

来到美国

 

露西安全公司(Lucy Security)首席执行官科林•巴斯塔布尔(Colin Bastable)指出，荷兰皇家航空公司和法国航空公司“作为同一家公司的一部分进行了密切的整合”。

 

他们通过天合联盟与达美航空公司合作，“通过达美航空在美国的8个枢纽向美国国内市场引入了潜在的第三方风险，”他告诉TechNewsWorld。

 

Bastable表示，与法航和荷航共享代码“可能会对达美航空造成代价高昂的后果，因为GDPR规定“会对达美航空的全球收益造成损害”。

 

此外，美国还提出了新的合规规定CipherCloud的詹姆斯说，如《美国数据传播法案》(American Data弥散法案)和《2018年加州消费者隐私法案》(California Consumer Privacy Act of 2018)，如果供应商在不要求认证的情况下暴露PII数据，可能会让供应商承担处罚和违规责任。

 

如何保障PII安全

 

以下是Wandera建议航空公司应该采取的一些步骤:

 

加密整个登记过程;

 

要求对PII可访问的所有步骤进行用户身份验证，特别是在可以编辑PII的情况下;和

 

对于电子邮件中的直接链接使用一次性令牌。

 

“如果这个链接不登录就直接把你带到乘客姓名记录，可以通过华宇登录系统总线访问（SBA）将SystemView的众多优势应用于任何RISC-V嵌入式系统。华宇总代理可从SEGGER免费获得，它可以在Windows，Linux和macOS上运行。没有许可费或隐性成本可供考虑。这绝对是一个潜在的问题，”CipherCloud的詹姆斯说。“您必须始终要求登录和身份验证。”

 

Wandera建议，用户应该部署一个活跃的移动安全服务来监控和阻止数据泄露和网络钓鱼攻击。

 

露西安全公司的巴斯塔布尔建议，被点名的八家航空公司的乘客“应该在家里打印登机牌”，“并避免在机场使用手机值机。”