東部標準時間午後 3 時 47 分に更新
航空会社はモバイル搭乗券の導入を進めており、空の旅のペーパーレス化の未来に目を向けています。しかし、まだ解決すべき問題がいくつかあります。
火曜日、乗客がデルタ航空のモバイル搭乗システムに重大な欠陥を発見し、誰でも他の乗客の搭乗券にアクセスできることが明らかになった。航空会社はその日の後半に修正を実施した。
BuzzFeed の広告製品インターンであり、Hackers of NY の創設者であるダニ・グラント氏は、欠陥を発見した彼女は、搭乗券の URL を共有するだけで済むことに気づきました。
「自分の搭乗券を誰かに送れば、その人がそれを開いてくれる可能性が高いと思いました」とグラントさんはマッシャブルに語った。 「そうであれば、おそらく誰でも他の搭乗券を開くことができます。」
搭乗券を表示するためにログインする必要はなかったので、URL を知っている人なら誰でも表示してダウンロードできました。
次に、Grant は、URL 内の 1 桁を変更すると、他の乗客の搭乗券が表示されることを発見しました。
クレジット: ダニ・グラント
Mashable は、2 つの別々の搭乗券 URL の番号を変更することで問題を再現することができました。
さまざまな航空会社の乗客の搭乗券を表示することもできます。たとえば、さまざまなサウスウェスト航空の搭乗券が異なる URL で表示されました。
空港では不正な搭乗券の変更を防止するための ID チェックが行われていますが、搭乗券に記載されている情報により、他人がフライトにチェックインしたり、フライトのオプションを変更したりする可能性があります。
デルタ航空はMashableに対し、月曜日遅くに問題を発見し、火曜日の朝に修正を実施したと語った。
「デルタ航空にとってセキュリティは最優先事項であり、旅行プロセス全体を通じて複数のレベルのセキュリティを採用しています」と航空会社は付け加えた。
「この問題に関する全体的な調査は継続中ですが、飛行の安全性への影響はなく、現時点で顧客アカウントが侵害されたことは認識していません。」
@スティーブカリスキーチケットの QR コードは名前をプレーン テキストでエンコードします。— Dani Grant (@thedanigrant)2014 年 12 月 16 日
@スティーブカリスキーtsa は、画面に表示される名前が ID 上の名前と一致するかどうかを確認します — Dani Grant (@thedanigrant)2014 年 12 月 16 日
@スティーブカリスキーしたがって、QR コードを相手の名前ではなく自分の名前でエンコードし、他のすべてを同じにしてスキャンするだけです— Dani Grant (@thedanigrant)2014 年 12 月 16 日
マッシャブルはサウスウエスト航空にも連絡を取り、広報担当者は同航空会社が問題に対処したことを確認した。
この問題を認識するとすぐに、状況を迅速に解決するために、モバイル搭乗機能を提供するベンダーに連絡しました。通知後、この問題は直ちに解消され、南西部の顧客が影響を受けたという報告はありません。当社は引き続き監視を続け、ベンダーとの対話に取り組んでいきます。
「乗客が自分のものではない搭乗券を使用することを禁止するセキュリティが何層にもわたっている」と広報担当者は付け加えた。