国航爆账号串联漏洞,可“无限”获取他人航班信息

本文讲的是国航爆账号串联漏洞,可“无限”获取他人航班信息在新京报今天发布的“APP泄露航班信息 80元买到鹿晗航班行程”报道中,曝光了国内某知名航空公司APP存在账号串联漏洞,导致用户身份信息泄漏、航班行程被取消

报道里没有点明航空公司的名字,不过嘶吼编辑根据提示检索网络资料,发现该航空公司极有可能是国航,而漏洞可能出在国航的订票APP系统上。

用户账号串联漏洞

据新京报采访,林琳(化名)是这次漏洞的受害者之一。由于漏洞影响,她的身份信息、航班订单被串联到周红(化名)的APP账号下。周红看到APP行程里出现陌生航班行程,认为遇到诈骗信息随即选择了取消。

林琳本人的APP账号里也出现三四位陌生人的身份信息和航班行程,身份信息具体包括姓名、联系方式、身份证号、开户银行和卡号等

国航爆账号串联漏洞,可“无限”获取他人航班信息

图/新京报,林琳的APP上突然多出的航班信息

4月下旬,林琳联系到该APP的工作人员,对方告知:“系统出现错误,导致用户账户出现串联。”并承诺马上修正。半个多小时后,林琳账号上关联的陌生人信息被清除干净。

林琳并非个例,新京报记者还发现,数月前就有不少网友发帖称,自己的APP上出现“不明陌生人”、“他人行程”等问题。

国航的漏洞?

这家航空公司是谁新京报没点名,但稍微搜下很容易找出来,大概是就是国航了。

1、“有数据显示,2016年,该航空公司会员达到4297万人。”这个数据在国航官网挂着,其它几家国内航空公司会员都没这么多。

国航爆账号串联漏洞,可“无限”获取他人航班信息

图截自国航官网

2、“一位网友就在帖子中说,‘每次登录都能刷出其他不同人的身份信息’,‘那是不是我写个脚本一直刷就能获得一大批身份信息?’”这个帖子出自国内某常旅客社区,原帖中网友直接点名国航,帖子里还有他刷到其他用户身份信息的截图。

国航爆账号串联漏洞,可“无限”获取他人航班信息

图截自某常旅客社区

3、上边的APP截图应该也挺好认的吧。

所以,出了这么大的漏洞,国航怎么看呢?

“5月9日…新京报记者发送采访函给该航空公司相关部门,截至记者发稿,未获对方回复。”




原文发布时间为:2017年5月12日
本文作者:longye
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
上一篇:CSS_选择器


下一篇:【错误记录】Android NDK 编译报错 ( no known conversion from ‘unsigned char *‘ to ‘const char *‘ )