新加坡航空公司客户登录账户时看到陌生人的个人数据

会员服务 ·

新加坡航空公司客户登录账户时看到陌生人的个人数据

2019 年 1 月 6 日 E安全

更多全球网络安全资讯尽在E安全官网www.easyaq.com

小编来报：飞行常客会员登录Krisflyer账户后，看到了陌生人的个人详细信息，包括即将出行的预订参考号、最近的活动和个人电子邮件。

据ZDNet 1月5日报道，新加坡航空公司(SIA)的一名客户称，她登录了航空公司的飞行常客计划页面后，能查看其他人的个人数据。

1月4日，Krisflyer会员登录了航空公司的网站，发现打开该网站速度比平时缓慢。当第一个页面加载时，她打开了第二个页面，当两个页面都加载完成后时，她在其中一个页面上看到了另一个用户的个人详细信息，而另一页面包含了那个用户和她的数据。

“我看到屏幕上显示的里程数远高于我的实际里程数，而且屏幕上显示的贵宾等级与实际不同，所以我刚开始以为我的账户被黑客入侵了。”驻新加坡的营销主管Tricia Leo说。她告诉ZDNet，她在早些时候登录了该网站，但当时没有遇到任何安全问题。

Leo接着点击了用户资料，看到了一个与她不同的名字，“Robert Sia”。虽然“我的预订”中正确列出了即将出发的两次旅程的详细信息，但账户中列出的电子邮箱详细信息属于Robert Sia。

“所以，这意味着如果我变更我的账户或航班信息，我的个人信息会通过电子邮件发送给一个完全陌生的人。”她还补充道，包含两人数据的页面包括了她的电话号码和护照号码，还有Robert Sia的电子邮箱。

在包含Robert Sia个人信息的页面上，Leo能够查看Robert Sia即将出发的旅程的预订参考号，包括目的地和出发日期，以及他最近的交易，比如他使用信用卡积分兑换的里程数，以及最近一次去东京的旅行。点击此页面上的用户资料选项需要OTP (一次性密码)，该密码应该已发送到Robert Sia的手机上。

新加坡航空公司乘客可以通过在网站上输入预订参考号和姓氏来检索航班预订的详细信息。

出于担忧，Leo拨打了新加坡航空公司的客户热线，但呼叫代理称航空公司正在进行系统升级。随后，代理让她注销账户，并在24小时后重新登录。当她询问潜在的安全漏洞和其他人是否可以访问她的个人信息时，代理说新加坡航空公司会在三到五天内做出回应，并再次要求她注销账户，一天后重新登录账户。

[更新: Leo说，航空公司的代理1月5日下午打电话来说，安全问题是由于“软件bug”，她的个人数据没有被泄露。该代理补充说，“一些人”也受到了该事件的影响。]

Leo用“不屑一顾”形容第一个代理的语气，态度与事情的严重性不相符。“她听起来像是敷衍我，而不是实事求是地对待这个问题，她甚至没有向我解释情况。”她说，“他们有我护照的详细资料，包括过期日期，以及我的旅行详细信息。我认为这很严重，我应该得到更好的回应，因为我朋友的旅行详细信息也在我的账户上，他是里程兑换受益人。”

ZDNet已就此事与新加坡航空公司取得联系，但新加坡航空公司尚未做出回应。ZDNet还拨打了客户热线，这次，热线代理人承认Leo本不能看到别人的数据，这是一个严重的事件。

他说新加坡航空公司没有提醒客户安全问题，他也不知道有其他客户报告了类似的遭遇。该公司每月都进行系统升级，但这些升级应该不会导致任何与安全相关的问题，比如这次Leo的问题。

他建议遇到类似事件的人截图发送给新加坡航空公司，这样航空公司的技术团队就可以进行调查。

Leo说：“对于新加坡航空这样的大公司来说，发生这种事件是无法接受的。如果没有正确的测试，如何进行系统升级？令人遗憾的是，这些公司把我们作为人质，要求我们提供详细的个人信息，但不保证数据安全。当你要求我提供个人数据时，我希望你有合适的技术和系统来保护它。”

“我最近也受万豪酒店安全漏洞的影响。这些公司得到了一个网页，但没有提供任何关于我们该如何解决问题的细节。”她指出，“现在几乎每隔一周就开始出现安全漏洞。虽然事实不应如此，但我们已经接受了这一现象。”

她补充说，政府需要处以罚款，并实施政策，让这些公司更加重视安全。她说，像新加坡航空公司这样的呼叫中心也应该接受更好的培训，以应对此类事件。

去年2月，新加坡航空公司宣布计划推出一款基于区块链的数字钱包，允许飞行常客会员使用里程支付合作零售商的购物费用。新加坡航空公司还表示，电子钱包将在新加坡航空公司运营的“私人区块链”上运行，只供商家和合作伙伴使用。

2018年10月，香港航空国泰航空公司报道了一起安全漏洞，涉及940万名顾客，泄露了姓名、国籍、出生日期和护照号码等数据，其中包括86万护照号码和24.5万香港身份证号码。