據外媒technewsworld報道，移動安全供應商Wandera周三披露，包括西南航空公司和荷蘭航空公司KLM在內的八家航空公司的電子票務系統 存在漏洞，可能會暴露乘客的個人身份信息（PII）。

多家航空公司電子票務存在漏洞，黑客可打印登機牌和篡改乘客信息

他們使用的是黑客可以輕松攔截的未加密鏈接。因此，黑客不但可以查看，甚至在某些情況下可以更改受害者的航班預訂詳細信息，或打印登機牌。

根據Wandera的說法，法國航空公司，Vueling公司，捷星公司，托馬斯庫克公司，Transavia公司和歐洲航空公司也有這個問題。

“Wandera調查了40多家全球航空公司使用的電子票務系統，”該公司產品副總裁Michael Covington表示。

在公開披露漏洞之前，Wandera為供應商提供長達四周的時間來提供補丁或相關修復。

Covington說，該公司一直在與“一些受影響的航空公司”進行溝通，但未能驗證是否已實施任何修復措施。

發現漏洞

Wandera在獲悉訪問八家航空公司之一的電子票務系統的客戶未經加密發送旅行相關的旅客詳細信息后，于12月初確定了該漏洞。

然后，它研究了其他航空公司的電子票務系統是否同樣易受攻擊。

Wandera通知受影響的航空公司，因為需要這些公司趕緊修補漏洞。它還與負責機場安全的政府機構分享了調查結果。

漏洞詳細信息

來自指定航空公司的未加密登記鏈接，在某些情況下，其他人可以對預訂進行某些更改并打印出登機牌。

一旦乘客訪問易受攻擊的登記鏈接，同一網絡上的黑客就可以攔截允許訪問電子票務系統的憑證。

使用這些憑證，黑客可以在航班起飛前訪問電子票務系統，甚至可以多次訪問電子票務系統，并訪問與預訂相關的所有個人身份信息。

“這個漏洞不需要中間人攻擊或惡意軟件安裝才能被利用，”科文頓說。“任何人都使用與乘客相同的網絡 - 無線或有線 - 將能夠攔截電子票務站點的憑證。”

CipherCloud的首席戰略辦公室Anthony James表示，航空公司“絕對不應該在沒有認證的情況下提供電子郵件中提供PII數據的鏈接” 。