新聞

【港航洩私隱】電子登機證爆漏洞 改幾隻字即睇其他乘客個人資料

蘋果日報
更新於 2018年10月30日10:41 • 發布於 2018年10月29日16:01
《蘋果》製圖(社內相)
【港航洩私隱】電子登機證爆漏洞 改幾隻字即睇其他乘客個人資料

【新增港航回覆】
繼日前國泰及英航爆出外洩客戶資料後,再有航空公司外洩乘客資料,香港航空最近修改了乘客領取電子登機證的網址,但該新網址卻出現嚴重漏洞,只要在網址末端修改幾個字元,便能查閱其他乘客的電子登機證,透過港航網站登入其他乘客的電子登機證,便能獲取該乘客的個人資料,有資訊科技專家表示港航有機會因而觸犯法例,應儘早找出補漏方案。

廣告(請繼續閱讀本文)

港航周二傍晚回覆指,注意到發送給客戶的電子登機證鏈接在加以變動後存在顯示其他乘客個人資料之機會。港航高度重視事件,並已即時採取措施升級保安措施,阻止任何未經授權取覽。

港航已將事件通報有關當局,並正與網絡安全專家合力採取行動,以確認是否有乘客資料曾被不當動用。港航表示對乘客造成之不便深表歉意。

有港航乘客陳先生向本報透露,自己一直是港航的常客,每次都會透過短訊來獲取電子登機證的網址,他表示從前獲得的是隨機產生的短網址,但早前收到的是已經修改的長網址,只要更改網址末端「id=」後僅2個英文字母,便能夠查閱到其他乘客的電子登機證,包括QR Code、姓名、乘搭航班等資料,掃瞄QR Code後,便能獲取電子機票號碼。

廣告(請繼續閱讀本文)

本報嘗試隨機更改電子登機證網址的英文字母,發現出現不同乘客的電子登機證資料,只要在香港航空網站的「增值服務」一欄中,選取立即預訂「預付超額行李」,輸入電子機票號碼及姓名後,便能獲取該乘客的個人資料,包括出生日期、旅行證件號碼、證件有效期,部分亦會顯示電話號碼及電郵地址。此嚴重漏洞反映出只要獲得現時港航電子登機證的網址,就能夠輕易獲取他人的資料,陳先生對此表示詫異,「唔明點解航空公司會出現咁低級嘅錯誤,其實咁樣真係會有啲危險囉」。

香港資訊科技商會榮譽會長方保僑回應指,改制後令登機證資料可輕易被人查看,港航必須負責。方保僑認為,今次出現洩漏問題,他估計與該航空公司剛進行系統升級有關,「完全是一個非常之大的安全漏洞」,他指,一般情況下讓客人無須登入即可使用登機證,一般只應顯示最簡單資料如客人名稱、座位、航班編號等,但就不應讓任何使用者在未經登入的情況下,讓人有機會讀取更多個人資訊。

他續指,港航今次改制後出現嚴重漏洞,「已不是單單牽涉一個人的事」,該公司有機會觸犯《個人資料(私隱)條例》,該公司甚或要因而向當局通報;與近日國泰所爆出問題,同引致客人資料洩漏,認為港航應儘早找出補漏方案。而歐盟今年5月25日實施的《通用數據保障條例》,規定有關機構需要在72小時內通報,否則有可能被處嚴重罰則。

廣告(請繼續閱讀本文)
查看原始文章

更多 新聞 相關文章

影/泰北佛寺查獲41具屍體 住持稱用來「練習冥想」
中天新聞網
轉型性感網紅惹罵戰 前國家體操隊員帳號遭禁關注
on.cc 東網
多地路跑傳事故 9歲童陪父參賽遭車撞死
on.cc 東網
女子墮假黑客及假冒官員騙案 損失逾1100萬元
商台新聞
黃埔花園途人過斑馬線險被車撞 網民:「好多人唔識揸車」
on.cc 東網
【有片】DHL貨機立陶宛墜毀1死3傷 不排除恐怖襲擊可能性
國際 on LINE
國泰東京返港航班疑液壓系統故障 凌晨安全着陸無人受傷
on.cc 東網
【蘋果案】黎智英:倘真相煽動他人憎恨政府 依然會報導 不認為構成罪行
獨立媒體 inmediahk.net
登退役巴士拋煙蒂致4車焚毀 17歲巴士迷被判入更生中心
am730
47歲瑞典公主「陸戰隊受訓」!耍槍開炮為登基做準備
中天新聞網
吳柳芳風波︱前國家隊體操冠軍當性感網紅 粉絲瘋漲200多萬目前禁止關注
am730
埃及沉船28人獲救包括2名中國遊客 仍有16人失蹤
商台新聞
上周五兩宗致命工業意外承建商 被發展局暫停投標要求落實改善措施
am730
眾議員去信耶倫 促重新思考對香港銀行業政策
on.cc 東網
警屈露宿者案|警施襲、毀家當脫罪 無家者阿山斥不公:濫權打我,太過份
集誌社
公屋扣分制新增3項不當行為12月1日實施 餵飼野鴿將扣7分
am730
小紅書湧現「聯合國名媛」 揭為付費打卡旅遊項目
am730
英國工黨危機︱平民發起國會呈請要求重選 簽署人數1日內破160萬
國際 on LINE
結業潮|金記冰室港九只剩10分店 集團網站「斷網」多天今午始復常(更新)
am730
家長不滿晚上要到校看自習課 高中否認強制
on.cc 東網
啃老男疑母盜竊毆打致死 法院裁定羈押
on.cc 東網
《忍者小靈精》《Q太郎》配音員堀絢子逝世 終年89歲
國際 on LINE
漢買醫保連交10年 妻患病理賠始知失效
on.cc 東網
一氧化碳無色無味無臭 閂窗沖涼打邊爐嫌命長
on.cc 東網
冰雪世界拍賣冰糖葫蘆攤位 底價100萬人民幣
on.cc 東網
家暴男不願離婚持刀捅死妻子 遭執行死刑
on.cc 東網
黃大仙搗淫窟拘2女 檢按摩油及毛巾等
on.cc 東網
美議員指香港成違反美國貿易管制中心 促重新思考對港政策
商台新聞
荃灣搗非法竹館 男主持9賭客被捕
on.cc 東網
本港一個佛山旅行團 4名男團友感染退伍軍人病
商台新聞
東方日報A1:職安不安心 月月添亡魂
on.cc 東網
網上湧現「聯合國名媛」 揭為付費打卡旅遊項目
on.cc 東網
東涌巴士男乘客車內昏迷 送院後不治
am730
杭州女投訴花12萬整容被說老了10年 網民錯重點「主管都這樣還敢消費」(有片)
am730
《東方日報》今日要聞
on.cc 東網
珍惜生命|八鄉24歲仔廁所燒炭 昏迷送院搶救後不治
am730
將軍澳毒男遇查斷正 檢4.5萬大麻花及大麻精油
on.cc 東網
IVE學生創「無障礙智慧信箱」 省大廈空間並提高派遞效率
商台新聞
速遞員擅放自取櫃 政府開118張罰單
on.cc 東網
影/驚悚直擊!野豬闖民宅「瘋狂撕咬」 7旬陸嬤當場慘死
中天新聞網
留言 12
  • KI
    其實我上年已經發現,改少少數字就睇到其他人既野,不過睇到又如何,我當時只想搵到同行既人張登機證,改少少就搵到
    2018年10月30日09:44
  • Andy Chan
    " id= " 之後,起碼8位大細階英數方為穩陣
    2018年10月30日07:19
  • Danny
    香港航空係中資,大陸佬用香港兩個字混水摸魚咋!大陸文化係唔會注重私人,黨話要你除褲你就要自動自覺除埋件衫
    2018年10月30日06:59
  • James Wong
    好低等嘅SQL threat.. 就算做database條友玩嘢,冇理由做IT security 嗰個冇做penetration test. 頂,IT security 個個CISA/CISM/CISSP個牌淘寶淘返嚟㗎?
    2018年10月30日06:32
  • Gary C.
    香港係落後唔係今日嘅事
    2018年10月30日05:50
顯示全部