インスタ投稿に搭乗券を載せると、バーコードから予約参照番号と姓を得て航空会社サイトにログイン可能になる。
ログイン後、本人のパスポート番号、電話番号、内部スタッフコメントなどの機微情報を取得できる。
本件はオーストラリア元首相トニー・アボットの事例で、実際に脆弱性報告と修正が行われた。
情報を報告した調査者は法的リスクを確認し、公的機関(ASD)や航空会社(カンタス)へ責任ある開示を実施し、脆弱性が約4カ月後に修正された。
一般利用者は搭乗券の写真公開を避け、バーコードや予約番号などの秘匿を徹底すべきである。
Get notified when new stories are published for "🇯🇵 Hacker News 日本語"