通过机场行李托运服务窥探他人隐私

Airportr是一项为旅客提供行李取件、托运和送达目的地的服务，主要用户群体为富裕或重要人士。但若该公司网站存在安全漏洞，攻击者便能窥探这些高价值用户的隐私，甚至窃取其行李。

网络安全公司CyberX9的研究人员发现，Airportr网站存在简单漏洞，攻击者可借此获取几乎所有用户的个人信息（包括旅行计划），甚至获得管理员权限——这种权限能让黑客在运输途中重定向或窃取行李。研究人员在向WIRED提供的少量用户数据样本中，发现了来自英国、瑞士和美国等多国政府官员及外交官的个人信息和旅行记录。

“任何人都可能获得对该企业所有运营数据和系统的超级管理员权限，“CyberX9创始人兼CEO Himanshu Pathak表示，“这些漏洞导致所有使用该服务的国际航空客户机密信息完全暴露，包括对全部预订和行李的完全控制权。因为一旦成为其核心系统的超级管理员，你就拥有了为所欲为的能力。”

漏洞影响范围

• 可获取政府官员/外交官等敏感人士的完整行程信息
• 可篡改行李运输路径实施盗窃
• 存在权限提升漏洞可获取超级管理员权限

技术细节

研究人员未披露具体漏洞类型，但强调：

1. 漏洞利用门槛极低（“simple bugs”）
2. 影响范围覆盖全球所有用户
3. 攻击者可获得系统最高控制权

行业警示

该事件再次凸显第三方服务供应链安全的重要性，特别是涉及：

• 高净值用户数据的服务
• 实体物流与数字系统结合的场景
• 权限管理体系的设计缺陷

“当你能成为敏感系统的超级管理员时，就拥有了一切权限。” —— CyberX9首席执行官