全球分销系统如此不安全，或许重写才是唯一方案

GDS（全球分销系统）是应用于民用航空及旅游业的大型计算机信息服务系统。它向旅游机构与旅行者提供及时、准确、全面的信息服务。但是，这项起源于 60 年代的技术已经无法满足现代社会的安全需求了。根据安全研究人员的说法，由于 GDS 缺乏现代的安全措施， 加上与之连接的站点和服务也不可靠，黑客可以轻易获取个人信息，盗取飞行里程。

今年，在汉堡的黑客大会 Chaos Communication Congress（混乱通信大会）上，安全研究员 Karsten Nohl 和 Nemanja Nikodijevic 展示了 GDS 的诸多问题，特别是其中的 PNR 系统（PNR：旅客订座记录）的漏洞。

　　(图片来自 卫报 )

　　在确定旅客预定信息时，航空公司使用了两项信息：六个字母组成的 PNR，以及用户的姓。“ PNR 应该是个安全的密码，但事实却并非如此，” Nohl 对 卫报 说，“他们并不将其当做秘密。它被打印在所有的行李上。以前，它还被打印在登机牌上，后来，它又变成了二维码。”

问题是，二维码很容易被各种 App 读取。如果旅行者在网上发布图片的话，他们的信息很有可能被盗取。“它应该是确认用户的唯一方式，” Nohl 说，“但是，它被印在一张旅途结束即被抛弃的纸上。”

另一个问题是，六个字母的代码很容易被猜到。在生成 PNR 的时候，不同服务商采用了不同系统，但是，这些系统都存在一些问题。比如，某些服务商按照顺序生成前两个字母，结果就是，一天里生成的 PNR 都以相同字母开始，另一些服务商会保留一些代码，降低了黑客们猜测的难度。

　　(图片来自 mvminfotech )

研究人员表示，PNR 漏洞只是 GDS 系统的表层问题。除此之外，在何人接触数据、为何获取数据上，GDS 缺乏良好的日志记录，而且，存取控制几乎是不存在的，任何参与预订业务的人都能够看到全部数据。

或许，解决问题的根本方法就是重写系统。航空公司可能没有意愿那么做，但日益增多的网络犯罪会成为一种驱动力。“航空公司有时候注意到这些问题，但仅在出现严重问题时，” Nohl 说，“我希望，问题变得非常严重，以至于它不可能被忽视了。那时，安全问题就能得到解决，而且隐私问题也能得到解决。如果只讨论隐私问题，那肯定是不行的。”

　　(图片来自 frequentguide )

　　 积木 The wind is rising,we must try to live. 邮箱 Twitter 新浪微博 Google+ 4

#欢迎关注爱范儿认证微信公众号：AppSolution（微信号：appsolution），发现新酷精华应用。

　　 爱范儿 | 原文链接 · 查看评论 · 新浪微博