新聞

【港航洩私隱】電子登機證爆漏洞 改幾隻字即睇其他乘客個人資料

蘋果日報
更新於 2018年10月30日10:41 • 發布於 2018年10月29日16:01
《蘋果》製圖(社內相)
【港航洩私隱】電子登機證爆漏洞 改幾隻字即睇其他乘客個人資料

【新增港航回覆】
繼日前國泰及英航爆出外洩客戶資料後,再有航空公司外洩乘客資料,香港航空最近修改了乘客領取電子登機證的網址,但該新網址卻出現嚴重漏洞,只要在網址末端修改幾個字元,便能查閱其他乘客的電子登機證,透過港航網站登入其他乘客的電子登機證,便能獲取該乘客的個人資料,有資訊科技專家表示港航有機會因而觸犯法例,應儘早找出補漏方案。

廣告(請繼續閱讀本文)

港航周二傍晚回覆指,注意到發送給客戶的電子登機證鏈接在加以變動後存在顯示其他乘客個人資料之機會。港航高度重視事件,並已即時採取措施升級保安措施,阻止任何未經授權取覽。

港航已將事件通報有關當局,並正與網絡安全專家合力採取行動,以確認是否有乘客資料曾被不當動用。港航表示對乘客造成之不便深表歉意。

有港航乘客陳先生向本報透露,自己一直是港航的常客,每次都會透過短訊來獲取電子登機證的網址,他表示從前獲得的是隨機產生的短網址,但早前收到的是已經修改的長網址,只要更改網址末端「id=」後僅2個英文字母,便能夠查閱到其他乘客的電子登機證,包括QR Code、姓名、乘搭航班等資料,掃瞄QR Code後,便能獲取電子機票號碼。

廣告(請繼續閱讀本文)

本報嘗試隨機更改電子登機證網址的英文字母,發現出現不同乘客的電子登機證資料,只要在香港航空網站的「增值服務」一欄中,選取立即預訂「預付超額行李」,輸入電子機票號碼及姓名後,便能獲取該乘客的個人資料,包括出生日期、旅行證件號碼、證件有效期,部分亦會顯示電話號碼及電郵地址。此嚴重漏洞反映出只要獲得現時港航電子登機證的網址,就能夠輕易獲取他人的資料,陳先生對此表示詫異,「唔明點解航空公司會出現咁低級嘅錯誤,其實咁樣真係會有啲危險囉」。

香港資訊科技商會榮譽會長方保僑回應指,改制後令登機證資料可輕易被人查看,港航必須負責。方保僑認為,今次出現洩漏問題,他估計與該航空公司剛進行系統升級有關,「完全是一個非常之大的安全漏洞」,他指,一般情況下讓客人無須登入即可使用登機證,一般只應顯示最簡單資料如客人名稱、座位、航班編號等,但就不應讓任何使用者在未經登入的情況下,讓人有機會讀取更多個人資訊。

他續指,港航今次改制後出現嚴重漏洞,「已不是單單牽涉一個人的事」,該公司有機會觸犯《個人資料(私隱)條例》,該公司甚或要因而向當局通報;與近日國泰所爆出問題,同引致客人資料洩漏,認為港航應儘早找出補漏方案。而歐盟今年5月25日實施的《通用數據保障條例》,規定有關機構需要在72小時內通報,否則有可能被處嚴重罰則。

廣告(請繼續閱讀本文)
查看原始文章

更多 新聞 相關文章

一家3口魂斷伊勢崎市國道!車體全毀變形 70歲日卡車司機認了:我有喝酒
中天新聞網
傳顧客折返夜市尋仇 持刀殺3人落網
on.cc 東網
警方拘捕1名男子 疑以不雅照片威脅25歲女子進行親密行為
am730
太空出任務8天變8個月!NASA受困女太空人瘦成皮包骨 外界擔憂
中天新聞網
北韓發動GPS電波干擾攻擊 黃海地區船隻飛機運行受影響
中天新聞網
警方搗破上水村屋製毒工場 據悉有大學生網上學製毒知識任「毒品廚師」
am730
大韓航空飛行中驚魂 男子疑圖開艙門‎被空服員制服
國際 on LINE
日本無碼AV網站 FC2創辦人 流亡10年回國即被捕
國際 on LINE
拒接待日本人起爭執 騰衝酒店響防空警報逐客
on.cc 東網
銀杏颱風|天文台下午3時40分改發三號風球 至少維持至明日上午10時
am730
旺角男子墮樓 伏屍馬路
on.cc 東網
影/巴西聖保羅機場傳槍響!疑黑幫滅口1商人中槍 倒臥航廈門口身亡
中天新聞網
天文台下午3時40分改發三號強風信號
商台新聞
內地足壇爆醜聞 傳國腳「母女通吃」
on.cc 東網
珍惜生命︱26歲女子元朗洪福邨上吊 母親解下惜太遲
am730
受新發展影響古洞北村民遞信請願 盼集體安置至彩石邨
on.cc 東網
歐駐華大使:不想與中國打貿易戰 關注歐洲醫療產品製造商受歧視
商台新聞
音樂節Hypefest或因打風影響 關閉部分設施
商台新聞
三號強風信號至少維持至早上10時 改發更高信號機會甚低
商台新聞
SEN兒童中心評估數字創新高 議員冀新措施進一步縮短輪候時間
on.cc 東網
陸美女村官不倫男上司翻臉控性侵 現又收賄746萬受審...網嘲:魚死網破
中天新聞網
遊客激光筆照大熊貓 長隆檢查無異常
on.cc 東網
大圍屋苑地盤吊籠下墜 工人腰部被夾困送院不治
on.cc 東網
醫生認藏毒等5罪囚10月 辯方指用錯方法解壓望輕判 官:格外開恩定遭覆核
法庭線 The Witness
習近平簽令發布《軍隊裝備保障條例》 下月起施行
商台新聞
沙田吐露港公路兩車相撞 私家車翻側司機頸傷
on.cc 東網
遭貨車撞毀 勞斯萊斯車主不索償惹熱議
on.cc 東網
晚間風力料增強 氣象局最快晚上8時改掛3號風球
on.cc 東網
警方葵芳拘兩男 檢太空油電子煙彈約值7萬
商台新聞
自稱有背景 女乘客飛機上辱罵毆打空少
on.cc 東網
貨車唔收尾板周街行 女子貢出馬路嫌命長
on.cc 東網
葵涌掃毒檢8萬元可卡因 16歲越南籍少年被捕
on.cc 東網
超颱「銀杏」逼港 天文台改掛3號風球 料維持至明早10時
on.cc 東網
台北女子捷運內持鎅刀傷害男乘客 涉殺人未遂被捕
商台新聞
女子試工遭要求陪睡 警方帶走公司負責人
on.cc 東網
港珠澳大橋水域應急演練 6年來首次
on.cc 東網
北捷女車廂內持刀攻擊畫面曝!乘客聽有人大叫 轉頭見「男同學臉上都是血」
中天新聞網
意大利還56文物 擬與華合作修復研究
on.cc 東網
昂坪360已暫停服務 多個貨櫃碼頭晚上7時暫停吉櫃交收
商台新聞
Ray Online|林素蔚患眼皮炎 自爆首次素顏出席立法會大會
am730
留言 12
  • AndyLam
    IT budget 縮得就縮 IT 人炒得就炒 請人全部請最平既 爆大鑊遲早既事 呢單算小事啦
    2018年10月30日05:17
  • KCC1234
    IT9唔值錢,係咁ga la
    2018年10月30日05:08
  • 你俾幾多人工 人地咪做幾多野囉
    2018年10月30日05:15
  • 喵喵
    九七後,香港淪落至此,令人歎息~~~唉!
    2018年10月30日05:07
  • James Wong
    好低等嘅SQL threat.. 就算做database條友玩嘢,冇理由做IT security 嗰個冇做penetration test. 頂,IT security 個個CISA/CISM/CISSP個牌淘寶淘返嚟㗎?
    2018年10月30日06:32
顯示全部