[mtr]

https://hk.news.appledaily.com/local/da ... 0/20534131

... 有港航乘客陳先生向本報透露，自己一直是港航的常客，每次都會透過短訊來獲取電子登機證的網址，他表示從前獲得的是隨機產生的短網址，但早前收到的是已經修改的長網址，只要更改網址末端「id=」後僅2個英文字母，便能夠查閱到其他乘客的電子登機證，包括QR Code、姓名、乘搭航班等資料，掃描QR Code後，便能獲取電子機票號碼。

... 本報嘗試隨機更改電子登機證網址的英文字母，發現出現不同乘客的電子登機證資料，只要在香港航空網站的「增值服務」一欄中，選取立即預訂「預付超額行李」，輸入電子機票號碼及姓名後，便能獲取該乘客的個人資料，包括出生日期、旅行證件號碼、證件有效期，部份亦會顯示電話號碼及電郵地址。此嚴重漏洞反映出只要獲得現時港航電子登機證的網址，就能夠輕易獲取他人的資料

[peterso]