当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-053166

漏洞标题:厦门航空泄露大量身份信息

相关厂商:xiamenair.com

漏洞作者: 鸟云厂商

提交时间:2014-03-09 09:47

修复时间:2014-04-23 09:47

公开时间:2014-04-23 09:47

漏洞类型:用户资料大量泄漏

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-03-09: 细节已通知厂商并且等待厂商处理中
2014-03-10: 厂商已经确认,细节仅向厂商公开
2014-03-20: 细节向核心白帽子及相关领域专家公开
2014-03-30: 细节向普通白帽子公开
2014-04-09: 细节向实习白帽子公开
2014-04-23: 细节向公众公开

简要描述:

厦门航空泄露大量身份信息

详细说明:

厦门航空的一个页面存在第三方组件泄露大量厦门航空旅客、机组人员身份信息
打开http://www.xiamenair.com/test.html
点击TravelSkyCheckIn
会跳转到http://webcheckin.travelsky.com/webcki/backQuery.do?orgId=MFAIRNEW&pwid=MF_CN
这里是值机查询功能页面
#1、配置管理,可以打开航站、屏蔽舱位、设置值机时间。

1.jpg


#2、进行十天范围的值机记录查询,来试试2014-03-01到2014-03-09

1.jpg


大概是10天有15000条信息。泄露旅客
姓名、航班号、舱位、起飞时间、航段、票号、座位号、手机号码。
#3、大泄露,直接打印登机牌。包含完整身份信息。

2.jpg


3.jpg


#4、查询值机人数统计信息,不上图。

漏洞证明:

“徐X女士,您好,我是厦门航空机场服务部,您在2013年3月9日乘坐了我们机场的MF8330航班,获得机场提供的惊喜大奖:人民币100000元,请将意外所得税打入XXXXXXX账户,我们就可以给您发奖。什么?您不相信?放心好了,我不是骗子,我证明给你看:您的身份证号码是410305****0727****,您在2013年3月9日11时50分乘坐了从广州机场飞到厦门机场的MF8330航班,您是50C号座位。‘哦!看来是真的,我马上去给你们汇款’”

修复方案:

删除http://www.xiamenair.com/test.html
然后和第三方沟通,页面要授权访问。泄露的可都是厦门航空的旅客信息。

版权声明:转载请注明来源 鸟云厂商@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2014-03-10 09:05

厂商回复:

该问题已经被确认,并且删除对应页面,同时已经联系安全部门对数据进行加密,要求排查所有网站,旅客的加密敏感数据

最新状态:

暂无

漏洞评价:

评论

  1. 2014-04-23 10:14 | zer0. ( 路人 | Rank:14 漏洞数:6 | 大家好 我是zer0——零点)

    牛逼,洞主!这要是做犯法的事,估计捞个几百万没问题!

  2. 2014-04-24 14:32 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @zer0. 洞主好人,选择了报告给企业啊 :)

  3. 2014-04-24 15:56 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    厂商回复:该问题已经被确认,并且删除对应页面,同时已经联系安全部门对数据进行加密,要求排查所有网站,旅客的加密敏感数据。。登机牌打码是吗