托马斯库克航空公司(Thomas Cook Airlines Scandinavia)是英国的一家包机航空公司,以曼彻斯特为主要运营地,主要经营飞往欧洲和地中海度假胜地的旅游包机服务以及长途服务。
成千上万的度假者依靠该公司提供的服务来完成他们旅程,但他们可能不知道的是,由于该公司系统在安全方面的不足,正将他们的个人信息置于泄露的边缘。
挪威程序员Roy Solberg 发现,仅使用预订参考号就可以从托马斯库克航空公司的系统中检索以下信息:
所有预订的旅客的全名
登记预约的人的电子邮件地址
启程:日期、机场、航班号
返程:日期、机场、航班号
Solberg发现,当乘客通过旅行社Ving(其母公司是托马斯库克航空公司)预订旅程时,会收到一些额外的预订参考号。这意味着,只需要将这些号码逐一添加到网址中,就可以访问对应乘客的详细信息。
这通常被称为“不安全的直接对象引用(IDOR)”,它不仅是设计糟糕的Web应用程序中常见的问题,而且也能够被攻击者很容易地利用。
Solberg表示,在他所进行的测试中,他能够使用这种技术来查看乘客旅程的详细细节,最早可以追溯到2013年。另外,Solberg相信他还可以很容易地编写一个计算机程序来执行循环查询,并提取有关于大量乘客及其旅程的详细信息。
Solberg指出,托马斯库克航空公司旗下Ving Norway、Ving Sweden、Spies Denmark和Apollo Norway提交的预订数据都被确认受到这个漏洞的影响,并且让有很大可能其他网站也同样受其影响。
尽管目前托马斯库克航空公司已经意识到了漏洞的存在并对其进行了修复,但通过Solberg 在其博客中的描述,我们了解到该公司在处理此类问题上的态度并不那么积极。
Solberg表示,他经历了很长的一段时间才收到该公司的回复,并且是在他联系了一名记者之后,该公司才默默地修复了这个漏洞。另外,由于能够被访问的最早的乘客信息显示的时间为2013年,这意味着该漏洞至今已经存在了长达5年的时间,我们几乎没有办确定是否有人在这期间利用了该漏洞。
网友评论