1月4日,Krisflyer会员登录了航空公司的网站,发现打开该网站速度比平时缓慢。当第一个页面加载时,她打开了第二个页面,当两个页面都加载完成后时,她在其中一个页面上看到了另一个用户的个人详细信息,而另一页面包含了那个用户和她的数据。

新加坡航空公司客户登录账户时看到陌生人的个人数据-浩海云安全中心

“我看到屏幕上显示的里程数远高于我的实际里程数,而且屏幕上显示的贵宾等级与实际不同,所以我刚开始以为我的账户被黑客入侵了。”驻新加坡的营销主管Tricia Leo说。她告诉ZDNet,她在早些时候登录了该网站,但当时没有遇到任何安全问题。

Leo接着点击了用户资料,看到了一个与她不同的名字,“Robert Sia”。虽然“我的预订”中正确列出了即将出发的两次旅程的详细信息,但账户中列出的电子邮箱详细信息属于Robert Sia。

“所以,这意味着如果我变更我的账户或航班信息,我的个人信息会通过电子邮件发送给一个完全陌生的人。”她还补充道,包含两人数据的页面包括了她的电话号码和护照号码,还有Robert Sia的电子邮箱。

在包含Robert Sia个人信息的页面上,Leo能够查看Robert Sia即将出发的旅程的预订参考号,包括目的地和出发日期,以及他最近的交易,比如他使用信用卡积分兑换的里程数,以及最近一次去东京的旅行。点击此页面上的用户资料选项需要OTP (一次性密码),该密码应该已发送到Robert Sia的手机上。

新加坡航空公司乘客可以通过在网站上输入预订参考号和姓氏来检索航班预订的详细信息。

去年2月,新加坡航空公司宣布计划推出一款基于区块链的数字钱包,允许飞行常客会员使用里程支付合作零售商的购物费用。新加坡航空公司还表示,电子钱包将在新加坡航空公司运营的“私人区块链”上运行,只供商家和合作伙伴使用。

2018年10月,香港航空国泰航空公司报道了一起安全漏洞,涉及940万名顾客,泄露了姓名、国籍、出生日期和护照号码等数据,其中包括86万护照号码和24.5万香港身份证号码。