信息化觀察網(wǎng)

無(wú)論航空公司還是酒店，航旅業(yè)是遭受新冠病毒疫情打擊最為嚴(yán)重的行業(yè)之一，但雪上加霜的是，航旅業(yè)同時(shí)也是網(wǎng)絡(luò)安全重災(zāi)區(qū)，英國(guó)航空公司和萬(wàn)豪集團(tuán)等企業(yè)雖然因數(shù)據(jù)泄露事件付出過(guò)慘痛代價(jià)和高額罰款，但是航旅業(yè)的網(wǎng)絡(luò)安全問(wèn)題似乎沒(méi)有任何改善。

近日，英國(guó)消費(fèi)者權(quán)益和技術(shù)咨詢(xún)公司6point6使用合法的在線(xiàn)工具研究了98家旅行業(yè)公司的網(wǎng)站、子域名、員工門(mén)戶(hù)和其他網(wǎng)站資源。

結(jié)果，安全研究人員在主要的酒店、航空公司和旅行預(yù)訂網(wǎng)站上發(fā)現(xiàn)了數(shù)百個(gè)漏洞，其中一些漏洞已經(jīng)遭到嚴(yán)重破壞。

他們發(fā)現(xiàn)，萬(wàn)豪酒店集團(tuán)的網(wǎng)站查出多達(dá)497個(gè)漏洞，其中包括100多個(gè)被評(píng)定為“高”（96）或“嚴(yán)重”（18）的漏洞。其中一些可能使攻擊者可以將用戶(hù)及其數(shù)據(jù)作為目標(biāo)。

easyJet航空公司今年發(fā)現(xiàn)了一個(gè)影響900萬(wàn)客戶(hù)的漏洞，被發(fā)現(xiàn)在9個(gè)網(wǎng)站域中存在222個(gè)漏洞，其中包括一個(gè)嚴(yán)重漏洞，該漏洞可能使攻擊者劫持用戶(hù)的瀏覽會(huì)話(huà)。

研究人員在英國(guó)航空公司網(wǎng)站上發(fā)現(xiàn)了115個(gè)漏洞，其中12個(gè)被判定為嚴(yán)重漏洞。盡管已確定的大多數(shù)問(wèn)題都與運(yùn)行舊版本的軟件有關(guān)。

去年，英航曾向Magecart攻擊者泄露約萬(wàn)名客戶(hù)的詳細(xì)信息，這一事件也可能面臨ICO的巨額罰款。

美國(guó)航空發(fā)現(xiàn)了291個(gè)潛在漏洞，在線(xiàn)訂票平臺(tái)Lastminute.com也發(fā)現(xiàn)了一個(gè)嚴(yán)重漏洞，攻擊者可能會(huì)利用該漏洞創(chuàng)建虛假的登錄賬戶(hù)。

“我們的研究表明，萬(wàn)豪、英國(guó)航空公司和easyJet未能從以前的數(shù)據(jù)泄露中吸取教訓(xùn)，并使他們的客戶(hù)面臨網(wǎng)絡(luò)犯罪投機(jī)分子的威脅。”

研究者指出：“旅行公司必須提高自己的網(wǎng)絡(luò)安全水平，更好地保護(hù)其客戶(hù)免受網(wǎng)絡(luò)威脅，否則，將面臨GDPR合規(guī)的巨額罰款。”