Hành khách của hãng hàng không Anh có nguy cơ cao bị lộ thông tin
Diễn đàn - Ngày đăng : 16:32, 15/08/2019
Các nhà nghiên cứu bảo mật đã công khai thông tin với hãng hàng không Anh British Airways rằng hệ thống bán vé điện tử của British Airways có thể cung cấp cho tin tặc quyền truy cập thông tin nhận dạng cá nhân (PII) của hành khách.
Cụ thể, các nhà nghiên cứu tại hãng bảo mật Wandera cảnh báo, các đường link làm thủ tục check-in mà hãng hàng không gửi cho hành khách qua email đã không được mã hóa và dễ dàng bị chặn, cho phép các bên trái phép xem và thay đổi chi tiết đặt vé máy bay cũng như thông tin cá nhân.
Thông tin về vụ rò rỉ dữ liệu cá nhân tiềm ẩn xuất hiện một tháng sau khi Cơ quan giám sát quyền riêng tư của Anh là Văn phòng Ủy viên Thông tin (ICO) thông báo sẽ phạt British Airways theo Đạo luật bảo vệ dữ liệu Anh, với khoản tiền phạt là 183,39 triệu bảng Anh (tương đương 229,7 triệu USD) vì vụ vi phạm dữ liệu cá nhân gây ảnh hưởng đến khoảng 500.000 khách hàng. Việc này cũng xảy ra chỉ một tuần sau khi xuất hiện lỗi hệ thống CNTT của British Airways làm 100 chuyến bay bị hủy và 300 chuyến bay bị hoãn.
Các nhà nghiên cứu của Wandera cho biết thông tin hành khách được bao gồm trong các tham số URL để điều hướng hành khách từ email đến trang web của British Airways nơi họ được đăng nhập tự động và xem hành trình cũng như check-in chuyến bay.
Thông tin chi tiết hành khách có trong các tham số URL là mã đặt vé và họ, cả hai đều được hiển thị vì liên kết không được mã hóa. Điều này có nghĩa là bất kỳ ai trên cùng một mạng Wi-Fi công cộng đều có thể dễ dàng chặn link và có quyền truy cập vào hành trình trực tuyến của hành khách, đồng thời đánh cắp thêm thông tin hoặc thậm chí thao túng thông tin đặt chỗ.
Thông tin bị rò rỉ theo cách này sẽ bao gồm tên, địa chỉ email, số điện thoại, số thành viên của British Airways và thông tin chi tiết chuyến bay.
Wandera cho biết họ đã thông báo cho British Airways về lỗ hổng này vào tháng 7/2019, nhưng vài tuần sau đó lỗ hổng vẫn chưa được giải quyết. Tuy nhiên, đại diện British Airways lại cho biết họ chưa nhận được bất kỳ thông tin nào từ Wandera liên quan đến vấn đề này.
British Airways không phải là hãng hàng không duy nhất có khả năng bị rò rỉ thông tin hành khách theo cách này. Vào tháng 2/2019, Wandera đã phát hiện ra lỗ hổng trong link thủ tục check-in tương tự mà ảnh hưởng đến 8 hãng hàng không lớn, bao gồm KLM, Air France, Thomas Cook, Vueling, Air Europa, Jetstar, Southwest và Transavia.
“Tất cả các hãng hàng không đã được thông báo và kêu gọi hành động”, Wandera cho biết.
Công ty bảo mật khuyến nghị rằng các hãng hàng không bị ảnh hưởng nên: Áp dụng mã hóa trong suốt quá trình check-in; Yêu cầu xác thực người dùng rõ ràng cho tất cả các bước mà có thể truy cập PII và đặc biệt là khi chỉnh sửa thông tin; Sử dụng mã xác thực một lần cho các đường link trực tiếp trong email.
Wandera cũng khuyến nghị khách hàng nên sử dụng một dịch vụ bảo mật di động để giám sát và ngăn chặn rò rỉ dữ liệu cũng như các cuộc tấn công lừa đảo.
Trong khi đó, theo British Airways, hãng có nhiều hệ thống để bảo vệ thông tin khách hàng, không có thông tin hộ chiếu hoặc thông tin thanh toán nào có thể được truy cập và chưa có bằng chứng nào cho thấy bất kỳ dữ liệu khách hàng nào đã được sử dụng.
Người phát ngôn của British Airways cho biết: “Chúng tôi rất coi trọng vấn đề bảo mật dữ liệu của khách hàng. Giống như các hãng hàng không khác, chúng tôi nhận thức được vấn đề tiềm năng này và đang hành động để đảm bảo khách hàng của chúng tôi được bảo vệ an toàn".
Lỗ hổng trong hệ thống bán vé điện tử tại British Airways và các hãng hàng không khác một lần nữa nhấn mạnh tầm quan trọng của việc tuân thủ các thực tiễn tốt nhất trong thiết kế hệ thống CNTT để đảm bảo chúng được bảo mật ngay từ thiết kế, đây cũng là yếu tố chính trong chính sách của chính phủ Anh về đổi mới công nghệ.