Tags:
Node Thumbnail

ที่งาน 33C3 นักวิจัยจาก SRLabs รายงานถึงความปลอดภัยของระบบจองตั๋วเครื่องบิน Global Distribution System (GDS) ที่เกือบทั้งโลกมีใช้งานเพียงสามระบบ คือ Amadeus, Sabre, และ Galileo

นักวิจัยพบว่าระบบเหล่านี้เป็นระบบเก่าและความปลอดภัยมักไม่เพียงพอ ตัวแทนจำหน่ายตั๋วเครื่องบินที่ต่อเข้าระบบเหล่านี้มักใช้รหัสผ่านที่คาดเดาได้ง่าย และเมื่อล็อกอินแล้วการควบคุมข้อมูลกลับไม่ดีเท่าที่ควร ข้อมูลของลูกค้าสามารถเข้าถึงได้โดย พนักงานของบริษัทขายตั๋วเครื่องบิน, พนักงานของสายการบิน, พนักงานของบริษัท GDS, และพนักงานบริษัทที่ให้บริการระบบอื่นๆ ข้อมูลที่แต่ละคนเห็นมีจำนวนมาก รวมถึงข้อมูลบัตรเครดิต

หมายเลขจอง (booking code) เป็นรหัสผ่านสำหรับลูกค้าที่ต้องการเข้าถึงข้อมูลของตัวเอง ระบบ GDS กลับให้รหัสผ่านตามการจองโดยไม่แยกข้อมูลลูกค้าแต่ละคน รหัสผ่านนี้เปลี่ยนไม่ได้ และตัวผู้ให้บริการก็สามารถเห็นรหัสผ่านได้เอง ตรงกันข้ามกับเว็บที่เก็บรหัสผ่านเป็นค่าแฮช ที่แม้แต่ผู้ให้บริการก็ไม่รู้ว่ารหัสผ่านของลูกค้าคืออะไร ตัวรหัสผ่านยังมีความซับซ้อนต่ำ แต่ละรายมีระบบสร้างรหัสความซับซ้อนไม่ถึง 30 บิตเท่านั้น

นักวิจัยเรียกร้องให้มีการปรับปรุงระบบเหล่านี้ ด้วยการจำกัดข้อมูลให้แต่ละคนเห็นข้อมูลเฉพาะที่เกี่ยวข้องกับตัวเอง, เปิดทางให้สร้างรหัสผ่านสำหรับการจัดการข้อมูลส่วนตัว, รักษาความปลอดภัย web service ต่างๆ ให้ดีขึ้น, และเปิดช่องทางให้ลูกค้ารับรู้ว่ามีใครเข้าถึงข้อมูลอะไรบ้าง

ที่มา - CCC.de, Motherboard

alt="upic.me"

alt="upic.me"

Get latest news from Blognone

Comments

By: John
iPhoneWindows PhoneAndroidSymbian
on 29 December 2016 - 12:48 #961649
John's picture

ตอนคีย์ข้อมูลเข้าไป มันระบุได้ว่าข้อมูลนี้ใครเห็นบ้าง ถ้าไม่ระบุก็ทุกคนเห็นได้
ปกติคนป้อนข้อมูลก็ไม่ระบุ มันก็เปิดโชว์หมด สนุกสนาน ไม่ต้องแฮคให้เหนื่อยหรอกครับ รู้แค่หมายเลขจองกับนามสกุลคนเดินทางก็ได้ละ

By: John
iPhoneWindows PhoneAndroidSymbian
on 29 December 2016 - 12:48 #961650
John's picture

ตอนคีย์ข้อมูลเข้าไป มันระบุได้ว่าข้อมูลนี้ใครเห็นบ้าง ถ้าไม่ระบุก็ทุกคนเห็นได้
ปกติคนป้อนข้อมูลก็ไม่ระบุ มันก็เปิดโชว์หมด สนุกสนาน ไม่ต้องแฮคให้เหนื่อยหรอกครับ รู้แค่หมายเลขจองกับนามสกุลคนเดินทางก็ได้ละ

By: newbie
ContributoriPhoneWindows
on 29 December 2016 - 13:03 #961654

หมายจอง (booking code) > ?