【本報訊】港航手機App疑有漏洞,令匿名者都能查閱甚至下載其他乘客的登機證,Blackhat Asia黑帽子亞洲駭客會議保安研究評審委員賴灼東形容保安漏洞嚴重,他估計程式可能曾經進行修改,修改時未能偵測到新程式有漏洞,造成私隱洩漏。
冒認乘客尚需護照
賴認為港航應留意用戶是於何時發現有資料外洩,再追查程式管理員曾否在該個時段更改過程式,例如曾否把客戶資料檔案放錯位或錯誤地上載至伺服器,以查出事件真相。
他認為除了當事人,很可能亦有其他用戶曾看到不屬於自己的登機證,情況令人關注,因不排除有不法之徒藉外洩資料去下載他人登機證冒認乘客。賴指雖然要成功冒認乘客尚需要護照,但不能掉以輕心:「我覺得一定唔可以隨便讓人睇到他人嘅登機證……咁輕易可下載落嚟,我覺得非常奇怪,亦不能夠接受。」
賴又指若香港航空的手機程式真的容許用家毋須登入,僅以匿名狀態已可查閱登機證,程式設計乃屬錯誤,因登入是有需要的保安手續。
賴指若是會員就要輸入登入密碼,若屬非會員,也應要先輸入訂位編號、姓名、護照號碼等資料,才可查閱敏感登機資料。
■記者張珮琪