厦门航空泄露大量身份信息

漏洞详情

披露状态:

2014-03-09: 细节已通知厂商并且等待厂商处理中
2014-03-10: 厂商已经确认,细节仅向厂商公开
2014-03-20: 细节向核心白帽子及相关领域专家公开
2014-03-30: 细节向普通白帽子公开
2014-04-09: 细节向实习白帽子公开
2014-04-23: 细节向公众公开

简要描述:

厦门航空泄露大量身份信息

详细说明:

厦门航空的一个页面存在第三方组件泄露大量厦门航空旅客、机组人员身份信息

打开http://www.xiamenair.com/test.html

点击TravelSkyCheckIn

会跳转到http://webcheckin.travelsky.com/webcki/backQuery.do?orgId=MFAIRNEW&pwid=MF_CN

这里是值机查询功能页面



#1、配置管理,可以打开航站、屏蔽舱位、设置值机时间。

1.jpg



#2、进行十天范围的值机记录查询,来试试2014-03-01到2014-03-09

1.jpg



大概是10天有15000条信息。泄露旅客

姓名、航班号、舱位、起飞时间、航段、票号、座位号、手机号码。

#3、大泄露,直接打印登机牌。包含完整身份信息。

2.jpg



3.jpg



#4、查询值机人数统计信息,不上图。

漏洞证明:

“徐X女士,您好,我是厦门航空机场服务部,您在2013年3月9日乘坐了我们机场的MF8330航班,获得机场提供的惊喜大奖:人民币100000元,请将意外所得税打入XXXXXXX账户,我们就可以给您发奖。什么?您不相信?放心好了,我不是骗子,我证明给你看:您的身份证号码是410305****0727****,您在2013年3月9日11时50分乘坐了从广州机场飞到厦门机场的MF8330航班,您是50C号座位。‘哦!看来是真的,我马上去给你们汇款’”

修复方案:

删除http://www.xiamenair.com/test.html

然后和第三方沟通,页面要授权访问。泄露的可都是厦门航空的旅客信息。

版权声明:转载请注明来源 鸟云厂商@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2014-03-10 09:05

厂商回复:

该问题已经被确认,并且删除对应页面,同时已经联系安全部门对数据进行加密,要求排查所有网站,旅客的加密敏感数据

最新状态:

暂无


漏洞评价: