香港航空電子登機證洩私隱 改網址字母任睇其他乘客個人資料 方保僑:恐違 GDPR 遭重罰

| 柔之拔 | 30-10-2018 06:47 |
香港航空電子登機證洩私隱 改網址字母任睇其他乘客個人資料 方保僑:恐違 GDPR 遭重罰

香港航空(Hong Kong Airlines)乘客個人資料任你看個夠?繼國泰航空日前「自爆」 940 萬乘客資料遭外洩後,香港航空亦爆出乘客資料外洩醜聞,今次更「離譜」不可思議,你可以藉香港航空的電子登機證漏洞,只要更改電子登機證網址的英文字母,即可任意觀看香港航空其他乘客的個人資料!

據了解,這次事件與黑客無關。這是香港航空更新電子登機證系統,疏忽不慎出現漏洞所致。香港資訊科技商會榮譽會長方保僑擔心,香港航空觸犯歐盟最新《通用數據保障條例》(GDPR)而遭重罰,呼籲香港航空盡快修補新系統保安漏洞。

【精選消息】

香港航空更新系統 疑疏忽

報道指,香港航空最近修改了乘客領取電子登機證的網址,惟新網址出現嚴重保安漏洞,只要在電子登機證網址末端修改 2 個英文字母,即可查閱其他乘客的電子登機證,獲取該乘客的詳細個人資料。

任意取得其他乘客的機票號碼

據了解,香港航空會透過短訊發出電子登機證網址予乘客。香港航空在更新電子登機證系統後,電子登機證網址由從前的短網址變成了長網址,只要更改網址末端「id=」後的 2 個英文字母,即可查閱其他乘客的電子登機證,包括 QR Code、姓名、乘搭航班等資料,掃瞄 QR Code 後,更可獲取該乘客的電子機票號碼。每次更改網址末端的英文字母,即可隨機觀看不同乘客的資料,並取得其電子機票號碼。其情況好比改網址字母,即可下載 Youtube 視頻般簡易。

【精選消息】

出生日期、電話、證件任睇

只要在香港航空網站的「增值服務」選項,選取立即預訂「預付超額行李」,輸入電子機票號碼及姓名後,更可獲取該乘客的詳盡資料包括:出生日期、旅行證件號碼、證件有效期,部分亦會顯示電話號碼及電郵地址。

換言之,只要獲得香港航空的一個電子登機證網址,即可窺盡香港航空其他乘客的個人資料,不需要任何登入或輸入密碼程序。

方保僑:或遭重罰千萬歐羅

香港資訊科技商會榮譽會長方保僑表示,這是私隱洩漏,香港航空乘客資料可以隨便任看,香港航空必須盡快修補在更新電子登機證系統後出現的嚴重保安漏洞。

他推測這個漏洞與香港航空進行系統升級有關:「一般而言,乘客無須登入即可使用電子登機證,惟只應顯示最簡單資料如乘客名稱、座位、航班編號等,不應該在毋須密碼登入的情況下,卻可像個 admin 管理員般,任意讀取乘客資料。」

【精選消息】

方氏擔心,香港航空已經違反歐盟於今年 5 月 25 日實施的《通用數據保障條例》(GDPR),該條例說明倘若歐盟國家公民的個人資料遭外洩,必須在 72 小時內通報,否則涉事公司可遭罰款 $1000 萬歐羅(約 HK$8,922 萬)或 2% 全年營業額。

「香港條例相當落後」

至於香港市民可從民事途徑向香港航空提出索償。他不忘狠批香港的《個人資料(私隱)條例》:「歐盟 GDPR 有清晰指引,限時通報及重罰,我們香港很多條例都非常落後,沒有要求通報時限,《個人資料(私隱)條例》只是指引,沒有罰則,對公司根本沒有阻嚇作用!」

 

Source:蘋果日報, ezone.hk

Page 1 of 9