全球航空訂位系統安全堪虞，駭客可輕易擅改機票行程

william77

全球主要訂位系統多採用5到6位數英文字母與數字混合的訂位代碼(PNR)，以此為依據儲存旅客姓名、旅遊日期、行程細節、班機座位號碼與行李等資訊，而代碼均依一定的規定設計，依電腦運算能力不同，數個小時便能強制破解代碼，駭客可竄改相關資訊或進一步詐騙。

適逢歐美年終假期旅遊旺季，德國資安公司Security Research Labs

卻提出警告

，各大航空公司、旅行社採用的全球定位系統存在嚴重安全漏洞，駭客可以輕易透過暴力式破解法取得旅客的訂位代碼，進而獲取其個人資訊，甚至竄改班機行程。

目前全球主要訂位系統(GDS)如Amadeus、Sabre與Travelport等，多半採用5到6位數結合英文字母與數字的訂位代碼(PNR)作為儲存旅客個資與行程的依據，包括姓名、旅遊日期、行程細節、票務規定、電話號碼、電子郵件、訂位旅行社、信用卡號、班機座位號碼與行李資訊等，都可透過該訂位代碼取得。

旅客僅需要提供訂位代碼與姓氏英文拼音，便可取得上述資料，甚至向航空公司更改機上座位、行程、飛行日期等，或是藉由取得的資料，來取信旅客進而進行其他詐騙。

SRLabs公司表示，由於主要訂位系統發放訂位代碼的方式具備一定規範，使得透過電腦進行強制排列找出特定姓氏對應的訂位代碼變得容易，依據採用電腦運算能力的不同，在數小時內便可猜出特定旅客的訂位代碼。

該公司表示，Amadeus與Travelport兩個訂位系統甚至是以序列方式發放訂位代碼，讓強制運算猜碼變得更容易，該公司並指控Amadeus與其開放供一般用戶使用的CheckMyTrip網站，是三大系統中最脆弱的，但Amadeus已經在進行相關安全性評估。

事實上，由於這些訂位系統多半是從70與80年代，因應航空公司電子化管理訂位紀錄而開始發展，其訂位代碼的安全性早就遭受質疑，但隨著越來越多航空公司推出線上查詢、更改訂位服務，但又缺乏限制同一IP位置短時間內大量登入嘗試的機制，讓駭客利用暴力解碼方式來猜出旅客訂位代號變得可能。

該公司建議，在全球定位系統增加其他認證機制前，所有提供透過旅客訂位代碼與姓氏來查詢、更改旅遊行程的網站，都應該增加防制暴力猜碼的機制，或至少加上人機辨識功能(CAPTCHA)，降低該漏洞的風險。

pekyhuang6