1. 首页
2. 新闻资讯
3. 安全资讯
4. 黑客利用常旅客系统漏洞，入侵航旅业

黑客利用常旅客系统漏洞，入侵航旅业

发布日期：2023-09-02

随着信息技术的飞速发展，大量企业采用常旅客系统来管理客户积分和个人信息。然而，最近安全研究人员发现的常旅客系统漏洞引发了人们对客户数据和积分安全的关注。

一、漏洞揭露的影响

最近，安全研究人员发现了常旅客系统提供商Points.com API中的漏洞，这给黑客提供了窃取客户数据和积分的机会，甚至可能控制整个系统。这些常旅客系统是许多知名航空公司和酒店的基础设施，涉及的用户规模庞大，一旦受到攻击将引发严重后果。黑客可以通过漏洞窃取客户数据和“忠诚货币”，并将其转移到自己的账户上，造成受害者账户被掏空的情况。

二、漏洞的具体情况

安全研究人员发现了多个漏洞，包括API遍历和配置问题。API遍历漏洞允许研究人员查询奖励计划的客户订单，并获取包含账户信息、地址、电话号码、电子邮件地址和信用卡号码等敏感数据的订单记录。配置问题可能导致黑客仅凭姓名和会员编号即可为任意用户生成帐户授权令牌，从而接管客户账户，并控制里程或其他奖励积分。此外，还发现了加密cookie使用易于猜测的秘密进行加密的漏洞，黑客可以轻松解密cookie并获得管理员权限，进而控制整个系统。

三、WAF和堡垒机保障数据安全

针对常旅客系统的漏洞，企业可以采取一系列安全措施来保障数据安全。其中两个重要的技术工具是WAF和堡垒机。

1. WAF（Web应用防火墙）：WAF是一种位于应用程序和互联网之间的保护层，可以监测和拦截潜在的恶意流量和攻击。对于常旅客系统，WAF可以通过监测和过滤传入的API请求，防止黑客利用漏洞进行非法访问和数据泄露。WAF可以实时检测常见的攻击类型，如SQL注入和跨站脚本攻击，并阻止恶意请求。此外，WAF还能提供日志记录和报告功能，帮助企业及时发现和应对潜在的安全问题。

2. 堡垒机：堡垒机是一种用于加固服务器和网络的访问控制工具。在常旅客系统中，堡垒机起到了身份认证和访问授权的关键作用。只有经过身份验证的用户才能通过堡垒机访问敏感数据和系统资源。堡垒机可以限制特权访问，对用户的操作进行审计和监控，提高系统的可信度和安全性。此外，堡垒机还支持多因素身份认证和会话管理，进一步强化数据安全。

四、个人意见和看法

鉴于常旅客系统的重要性和涉及的用户规模，保障数据安全至关重要。漏洞的存在需要引起企业和用户的高度警惕。在解决漏洞问题方面，Points.com采取了积极主动的态度，修复了漏洞，并进行了第三方审核。这种响应的方式值得肯定。
移动互联的时代，特别是企业网站，也已转变为用户日常消费平台。用户在此看资讯、视频，购物消费，一个安全的网站，才能更好保障用户的网络安全。
为网站部署SSL证书保护用户数据传输安全。部署SSL证书后，网站建立SSL安全通道，确保客户与网站之间的信息加密传输，保证安全。认证：用于证明网站的真实身份，有效避免钓鱼网站、仿冒网站的威胁。数据完整：防止内容被第三方冒充或篡改。
SSL证书在申请的时候都会通过严格的审查手段对申请者的身份进行确认，用户在访问网站的时候可以看到证书的内容，其中包含网站的真实域名、网站的所有者、证书颁发组织等信息。浏览器也会给出相应的安全标识，让访问者可以放心使用。
数字经济时代，随着个人信息价值的凸显，个人信息收集乱象突出，个人信息泄露事件频发，个人信息滥用严重，个人信息安全面临着严峻的挑战。
声明：本平台所收集的部分公开资料来源于互联网，转载的目的在于传递更多信息及用于网络分享，并不代表本平台赞同其观点和对其真实性负责，也不构成任何其他建议。如果您发现平台上有侵犯您的知识产权的作品，请与我们取得联系，我们会及时修改或删除。

上一篇：国内一百多万台电脑感染木马病毒

下一篇：黑客是如何“免费”坐飞机的？

相关新闻

• 勒索软件攻击事件为何不断增加
• 全球石油巨头因网络攻击损失超2.5亿元
• 39秒黑客就会攻击一次，每天造成1800万美元的损失
• 施*德电气遭数据勒索：开发平台访问凭证暴露 40GB数据失窃
• 25家跨国企业数据泄露，MOVEit漏洞引发重大安全危机
• 《个人信息保护法》施行三周年，SSL证书筑牢个人信息 “安全堤”
• 数据泄露事件频发 我们如何防患于未然
• 遭勒索攻击后，秘鲁国际银行承认数据泄露
• 一机场集团疑遭勒索软件攻击，旗下13个机场紧急切换备用系统
• 诺*亚正在调查一起数据泄露事件