Hacker News 中文摘要

RSS订阅

逆向解析美国航空公司PNR系统并访问所有预订记录 -- Reverse Engineering US Airline's PNR System and Accessing All Reservations

原文链接 | HN讨论 | 2025-12-20 12:58:50

文章摘要

研究人员发现Avelo航空公司预订API存在漏洞,允许暴力破解获取数百万乘客记录。10月15日发现后立即联系公司,Avelo安全团队反应迅速专业,11月13日完成修复。整个披露过程堪称企业处理安全漏洞的典范。

文章总结

标题:航空公司预订API存在暴力破解漏洞,数百万乘客信息面临风险

时间线及负责任披露
2025年10月15日,研究人员发现Avelo航空公司的预订系统存在严重漏洞,立即通过邮件联系其安全团队。次日,Avelo团队迅速回应并展开协作。11月13日,漏洞完成修复并经过独立验证。11月20日,事件细节被公开披露。整个过程中,Avelo团队表现出高度的专业性和配合态度,成为安全漏洞处理的典范。

漏洞发现过程
研究者在修改航班预订时,发现系统未验证乘客姓氏,仅需6位字母数字组合的预订码即可通过API(/payment/services/reservation/{code})获取完整预订信息。进一步测试表明,任意有效认证Cookie均可查询所有乘客数据,且接口未设置速率限制。

技术风险分析
- 暴力破解可行性:6位字符(36进制)的密钥空间约21.8亿种组合。以10万次/秒的请求速度,可在6小时内遍历全部组合,成本不足1000美元。
- 实际危害更大:由于Avelo已售出约800万张机票,攻击者平均每270次尝试即可命中一条有效数据,瞬间获取敏感信息。

泄露数据范围
通过漏洞可获取:
1. 个人身份信息:姓名、出生日期、性别
2. 政府证件号:护照号码、可信旅行者编号(KNT)
3. 联系方式:电话、邮箱
4. 行程详情:航班号、座位号、起降时间
5. 支付数据:信用卡末四位、有效期、账单邮编
6. 磁条数据:部分支付卡磁道信息

潜在后果
攻击者可:
- 批量窃取乘客身份信息用于欺诈
- 篡改或取消航班预订造成运营混乱
- 针对政府雇员(如使用.gov邮箱的乘客)进行定向攻击

修复建议
开发者应:
1. 实施多因素验证(如预订码+姓氏)
2. 对所有可枚举接口启用速率限制
3. 严格限制会话Cookie的访问范围

此次事件凸显基础安全措施的重要性。Avelo航空的快速响应值得肯定,相关经验可为行业提供警示。

(注:原文中的课程信息、部分技术细节及图片说明等非核心内容已精简,保留关键事实与专业分析。)

评论总结

总结评论内容:

  1. 漏洞严重性讨论
  • 主要观点:无需姓氏即可通过预订码获取机票信息的API存在重大安全隐患
  • 关键引用: "This is about a non-rate-limited endpoint providing ticket data given a booking code only" (Nextgrid) "The lack of needing the last name might have allowed a hacker to brute force the whole list" (didgetmaster)
  1. 技术可行性争议
  • 主要观点:对6小时内暴力破解所有可能的理论提出质疑
  • 关键引用: "I highly doubt Avelo would handle 100k requests/sec" (jbergler) "The space of all possible PRLs is about 2 billion" (miki123211)
  1. 公司响应评价
  • 主要观点:赞赏Avelo的专业响应,但批评缺乏经济补偿机制
  • 关键引用: "The Avelo team was responsive, professional..." (mtlynch引用原文) "it's so infuriating that companies...rely on the kindness of security researchers" (mtlynch)
  1. 技术架构批评
  • 主要观点:前端不应接收完整的PNR数据集
  • 关键引用: "there's no reason in the world that this entire dataset should be dumped into Javascript" (commandlinefan) "Always require authentication to perform...privacy leaking requests" (dboreham)
  1. 写作风格评价
  • 主要观点:认可发现价值但批评写作风格
  • 关键引用: "Annoying sensationalist writing, but good find!" (klysm) "I feel like AI was overused in authoring the writeup" (Nextgrid)
  1. 政治关联提及
  • 次要观点:指出Avelo与ICE的合作关系
  • 关键引用: "Avelo assists ICE daily with deporting people" (ISL)