外媒报道称，被全球近半数国际航空公司所使用的Amadeus机票预订系统，近日被曝存在一个严重的安全漏洞，使得黑客能够轻松查看和更改旅客信息、退订旅客机票。据悉，该漏洞由Noam Rotem与安全侦探研究实验室发现，影响全球141家国际航空公司（占比44%）。

Rotem展示可通过PNR代码更改任何乘客的航班信息

      通过刷新机票预订网页的特定元素（RULE_SOURCE_1_ID），Rotem能够查看他被Amadeus纪录任何客户的PNR名称和航班详情。拿到PNR和姓名之后，攻击者能够登陆任何受影响的航空公司门户网站，窃取旅客的航空里程、冒充用户取消航班，变更座位、甚至用餐计划。

综上所述，问题的关键，在于PNR代码上。遗憾的是，航空公司及其客户并没有受到完全的保护。

Rotem写了一个简单的脚本，能够生成随机的PNR代码，并成功访问了许多客户的账户。（图为Rotem 脚本示例）

      Rotem及时将该问题反馈给了以色列航空公司EL AL，后者又转告了 Amadeus 安全团队。万幸的是，Amadeus安全团队修补了这方面的漏洞。不过为了进一步加强安全性，Amadeus增加了一个Recovery PTR，以防止恶意用户访问旅行者的个人信息。

    Amadeus在声明中称：“我司一直将安全放在首位，并持续监控和更新我们的系统。在获知该问题后，安全团队迅速采取了行动，当前问题已经得到解决”。

来源：cnBeta