https://tw.appledaily.com/new/realtime/20181030/1456712/
繼日前國泰及英航爆出外洩客戶資料後,又有航空公司外洩乘客資料。香港航空最近修改了乘客領取電子登機證的網址,但新網址卻出現嚴重漏洞,只要在網址末端修改幾個字元,便能查閱其他乘客的電子登機證,甚至只要在港航網站登入其他乘客的電子登機證號碼,便能獲取該乘客的個人資料。有資訊科技專家表示,港航可能因而觸犯法例,應儘早找出補漏方案。
 
香港《蘋果日報》報導,港航常客陳先生爆料,他都會透過短訊來獲取電子登機證的網址,以前獲得的是隨機產生的短網址,但日前收到網站更新後的長網址,只要更改網址末端「id=」後僅2個英文字母,便能夠查閱其他乘客的電子登機證,包括QR Code、姓名、乘搭航班等資料;掃描QR Code後,便能獲取電子機票號碼。
 
香港《蘋果》嘗試隨機更改電子登機證網址的英文字母,就看到不同乘客的電子登機證資料;只要在香港航空網站「增值服務」一欄中,選取立即預訂「預付超額行李」,輸入電子機票號碼及姓名後,便能獲取該乘客的個人資料,包括出生日期、旅行證件號碼、證件有效期,部分還會顯示電話號碼及電郵地址。
 
此一嚴重漏洞顯示,只要取得目前港航電子登機證的網址,就能輕易獲取他人的資料。陳先生對此表示詫異,「不明白航空公司怎會出現這種低級錯誤,這樣真的有點危險」。
 
香港資訊科技商會榮譽會長方保僑回應指,港航網站改制後使登機證資料可輕易被人查看,港航必須負責。方保僑認為,這次出現個資洩漏問題,應與港航剛進行系統升級有關,「是一個非常大的安全漏洞」。他指出,一般情況下,讓客人無須登入即可查閱電子登機證,一般只應顯示最簡單資料如客人名稱、座位、航班編號等,不應讓任何使用者在未登入網站的情況下,就能讀取更多個人資訊。
 
他表示,港航這次改制後出現嚴重漏洞,「已不只是牽涉一個人的事」,港航可能觸犯《個人資料條例》,甚至可能要向當局通報,港航應儘早找出補漏方案。歐盟今年5月25日實施的《通用數據保障條例》,就規定有關機構需要在72小時內通報,否則有可能被處嚴重罰則。
 
香港航空成立於2006年,飛航上海、台北、東京、溫哥華等30多個城巿。港航原為中國海航集團旗下公司,去年海航出脫部分持股,不過港航仍獲中國國家開發銀行貸款。 (大陸中心/綜合外電報導)