港航網上系統現漏洞 男乘客通告不果反被指取用資料 准守行為

撰文:林樂兒
出版:更新:

香港航空的網上登機及預訂系統去年爆出安全漏洞,有男乘客在網上領取電子登機證後,意外發現只要略為修改網址,便可查閱其他乘客的資料,他隨機測試,證實確有漏洞後,即通知港航,但未獲回覆,事後反被指他曾接觸其他乘客資料,遭票控在未獲授權下取用電腦資料罪。
該男乘客的案件,今(3日)在西九龍法院再提訊,控方決定不提證供起訴,被告准自簽1500元守行為一年。男乘客形容此案是司法滋擾,指香港社會或大企業只會解決發現問題的人。

被告陳子恩離庭時,手持印有警察通例的資料掩面。(林樂兒攝)

被告陳子恩(27歲,任職公關)原被指於去年10月29日干犯一項藉電訊而在未獲授權下取用電腦資料。控方今撤回控罪,並透露沒證據顯示陳洩露他人資料。

港航預訂系統可修改乘客資料

案情指,港航的網上預訂平台包含電子機票及電子預訂系統。乘客在網上辦理登機手續,會收到內含電子登機證網址之短訊。該電子登機證列有姓名、航班資料及二維碼,如在預訂系統網頁輸入乘客姓名及航機號碼,便可瀏覽出生日期、護照、電話號碼、電郵地址等個人資料,並可作更改。

港航發現被告IP地址連到另一乘客

去年10月29日,港航收到傳媒對電子機票保安漏洞的查詢,其後聯絡資訊系統供應商Travelsky。供應商調查後,發現被告的IP地址在未經授權下連到另一乘客葉瑞如(音譯)的網上預訂頁面。港航職員3周後報警。

隨機測試連結到其他乘客資料

警方循IP地址找到一間公司,並於同年11月29日晚上門請被告協助調查。警誡下,被告表示一個月前下載自己及女友的前往日本的電子登機證,留意到兩者的網址,只有最後的兩個字母有分別。他隨機改變最後的字母,並能成功連接到其他乘客的資料。他試了10次左右,並掃描網頁上的二維碼,連上了他人的電子預訂系統。

登機證未能放電子銀包而生疑

陳先生庭外透露有網頁記存的相關知識,本身亦注重網站安全及私隱。他指習慣將機票加入iPhone的電子銀包,但當日不見有此選項,覺得奇怪。他最初懷疑是釣魚網站,留意到網址後再作試驗,遂發現漏洞。

他認為港航有責任保障乘客私隱,並對私隱專員公署至今未回應案件感失望。被問及此案是否無妄之災,他表示同意,稱其信念是「唔啱就要講返清楚做啱」,會努力盡公民責任。

案件編號:WKS6208/2019