【港航洩私隱】電子登機證爆漏洞 改幾隻字即睇其他乘客個人資料

【新增港航回覆】
繼日前國泰及英航爆出外洩客戶資料後，再有航空公司外洩乘客資料，香港航空最近修改了乘客領取電子登機證的網址，但該新網址卻出現嚴重漏洞，只要在網址末端修改幾個字元，便能查閱其他乘客的電子登機證，透過港航網站登入其他乘客的電子登機證，便能獲取該乘客的個人資料，有資訊科技專家表示港航有機會因而觸犯法例，應儘早找出補漏方案。

港航周二傍晚回覆指，注意到發送給客戶的電子登機證鏈接在加以變動後存在顯示其他乘客個人資料之機會。港航高度重視事件，並已即時採取措施升級保安措施，阻止任何未經授權取覽。

港航已將事件通報有關當局，並正與網絡安全專家合力採取行動，以確認是否有乘客資料曾被不當動用。港航表示對乘客造成之不便深表歉意。

有港航乘客陳先生向本報透露，自己一直是港航的常客，每次都會透過短訊來獲取電子登機證的網址，他表示從前獲得的是隨機產生的短網址，但早前收到的是已經修改的長網址，只要更改網址末端「id=」後僅2個英文字母，便能夠查閱到其他乘客的電子登機證，包括QR Code、姓名、乘搭航班等資料，掃瞄QR Code後，便能獲取電子機票號碼。

本報嘗試隨機更改電子登機證網址的英文字母，發現出現不同乘客的電子登機證資料，只要在香港航空網站的「增值服務」一欄中，選取立即預訂「預付超額行李」，輸入電子機票號碼及姓名後，便能獲取該乘客的個人資料，包括出生日期、旅行證件號碼、證件有效期，部分亦會顯示電話號碼及電郵地址。此嚴重漏洞反映出只要獲得現時港航電子登機證的網址，就能夠輕易獲取他人的資料，陳先生對此表示詫異，「唔明點解航空公司會出現咁低級嘅錯誤，其實咁樣真係會有啲危險囉」。

香港資訊科技商會榮譽會長方保僑回應指，改制後令登機證資料可輕易被人查看，港航必須負責。方保僑認為，今次出現洩漏問題，他估計與該航空公司剛進行系統升級有關，「完全是一個非常之大的安全漏洞」，他指，一般情況下讓客人無須登入即可使用登機證，一般只應顯示最簡單資料如客人名稱、座位、航班編號等，但就不應讓任何使用者在未經登入的情況下，讓人有機會讀取更多個人資訊。

他續指，港航今次改制後出現嚴重漏洞，「已不是單單牽涉一個人的事」，該公司有機會觸犯《個人資料（私隱）條例》，該公司甚或要因而向當局通報；與近日國泰所爆出問題，同引致客人資料洩漏，認為港航應儘早找出補漏方案。而歐盟今年5月25日實施的《通用數據保障條例》，規定有關機構需要在72小時內通報，否則有可能被處嚴重罰則。