全球航空订位系统安全堪虞，骇客可轻易擅改机票行程

适逢欧美年终假期旅游旺季，德国资安公司Security Research Labs却提出警告，各大航空公司、旅行社采用的全球定位系统存在严重安全漏洞，骇客可以轻易透过暴力式破解法取得旅客的订位代码，进而获取其个人资讯，甚至窜改班机行程。
 
目前全球主要订位系统(GDS)如Amadeus、Sabre与Travelport等，多半采用5到6位数结合英文字母与数字的订位代码(PNR)作为储存旅客个资与行程的依据，包括姓名、旅游日期、行程细节、票务规定、电话号码、电子邮件、订位旅行社、信用卡号、班机座位号码与行李资讯等，都可透过该订位代码取得。
 
旅客仅需要提供订位代码与姓氏英文拼音，便可取得上述资料，甚至向航空公司更改机上座位、行程、飞行日期等，或是借由取得的资料，来取信旅客进而进行其他诈骗。
 
SRLabs公司表示，由于主要订位系统发放订位代码的方式具备一定规范，使得透过电脑进行强制排列找出特定姓氏对应的订位代码变得容易，依据采用电脑运算能力的不同，在数小时内便可猜出特定旅客的订位代码。
 
该公司表示，Amadeus与Travelport两个订位系统甚至是以序列方式发放订位代码，让强制运算猜码变得更容易，该公司并指控Amadeus与其开放供一般用户使用的CheckMyTrip网站，是三大系统中最脆弱的，但Amadeus已经在进行相关安全性评估。
 
事实上，由于这些订位系统多半是从70与80年代，因应航空公司电子化管理订位纪录而开始发展，其订位代码的安全性早就遭受质疑，但随着越来越多航空公司推出线上查询、更改订位服务，但又缺乏限制同一IP位置短时间内大量登入尝试的机制，让骇客利用暴力解码方式来猜出旅客订位代号变得可能。
 
该公司建议，在全球定位系统增加其他认证机制前，所有提供透过旅客订位代码与姓氏来查询、更改旅游行程的网站，都应该增加防制暴力猜码的机制，或至少加上人机辨识功能(CAPTCHA)，降低该漏洞的风险。