这是2017年,改变别人的航班预订是非常容易的
政府监督制度非法,汤姆沃特森案中的法院规则
Windows 10在多月份摊位后的用户共享增益
Infosys在芬兰开设交付和创新中心
先进的亚洲国家良好的行业4.0
Nesta Challenge利用开放银行来帮助小企业
沃达丰推出康沃尔郡4克迷你桅杆
开源硬件制造商联合起来开始认证产品
McAfee报告显示,八季度2017年第四季度八季度新网络威胁
黄貂鱼使用可能是违宪的,找到房屋报告
视频游戏程序员如何创建一个流行的VR外科模拟器
戴尔EMC在APAC的IOT收入超过1亿美元
在雅虎突破之后你应该做的5件事
FSB调查显示,大多数英国小公司仍未为GDPR准备
在国际DDos-for-hire镇压中被逮捕了数十岁
新纪录!雅虎被攻击 - 10亿用户账户妥协
希捷与DJI合作,为无人机创造新的存储类型
Apple的利润坍塌意味着Tim Cook的付费剪裁
政府为物联网设备规定了更严格的安全措施
NVIDIA旨在通过教育九年学生来解决英国的AI技能差距
将a.i.迎来了一个新的黑客时代?
几乎四分之一的伦敦企业不知道GDPR
企业开始将关键的遗留工作负载迁移到云端
微软推出了两个面向用户的通信网站
Mac Malware在2017年增加一倍多
丰田的概念 - 我的汽车人性化ai
中央银行表示,现金将在欧元区留在欧元区
Microsoft潜入Windows 10的无证修补程序,Build 14393.577
阿联酋使人工智能跃升
Foxconn测试iPhone 8的无线充电
NRF 2018:签证高管表示,加密货币“不会起飞”
思想的食物:10位的Android分析值得咀嚼这个假日季节
竞争黑客抑制了Mirai Botnets的力量
在野外检测到更多POS恶意软件
2018年Cyber​​Threat 2018针对英国网络安全技术
有成千上万的关键系统,受到严重安全缺陷的影响
挪威医疗保健泄露警报未发生GDPR要求
对云服务的需求驱动IT外包增加
AWS的VMware云生活在亚马逊的英国数据中心,因为混合云需求增长
三位客户服务机器人土地在圣何塞机场
Verizon IoT,Swiftmile Pilot Smart Bike - 在圣克拉拉共享
G-Cloud 10发布日期于2018年6月确认
英国计划从ID盗窃保护公司董事的法律
英国政府订单审查在线法律
Facebook提供资金来保护互联网
谷歌助理需求是清晰度 - 和一致性
上诉法庭规则劳里爱不会引渡美国黑客收费
Azure Roundup:FPGA,新的VM和新鲜欧洲地区
今年春天飞向飞行员身份验证平台
451研究闪耀了企业对数字转型的态度如何发展的亮相
您的位置:首页 >论坛 > 移动互联 >

这是2017年,改变别人的航班预订是非常容易的

2021-07-29 15:44:15 [来源]:

每天数百万人使用的旅行预订系统都是令人窒息的,缺乏现代认证方法。这让攻击者能够轻松修改其他人的保留,取消他们的航班,甚至使用退款来为自己预订门票,根据这一在线生态系统的研究人员进行了评分。

基于柏林的咨询安全研究实验室的Karsten Nohl和Nemanja Nikodijevic已经花了几个月调查旅行社,航空公司,酒店和汽车租赁公司使用的全球分销系统(GDSS)所雇用的安全。他们于周二在汉堡的第33届Chaos Communications大会上提出了他们的调查结果。

GDSS是数据库,日期回到大型机时代,并保存有关旅行预订的所有信息,如旅行者的名称,旅行日期,行程,票证详细信息,电话和电子邮件联系人,护照信息,信用卡号,座椅编号和行李信息。所有这些数据都构成所谓的乘客名称记录(PNR)。

世界上三大GDS运营商是Saber,Travelport和Amadeus,他们在任何时候都在数百万个旅行者储存PNR。添加或修改的任何数据都存储在其系统中,并且访问该信息所需的所有数据通常是姓氏和六个字符的预订代码。

这些系统中有多个接入点,这包括由航空公司和旅行社运营的网站,也包括核心条目等第三方网站。即使其中一些要求更多的信息除其他人是否除了最后一个名称之外,还要求验证用户 - 像姓氏之外的第一个名称 - PNR的保护级别最终是链中最薄弱的链接。

例如,如果预订包括带有不同航空公司的航班,则可以通过任何运行行程不同腿的航空公司的网站访问和修改预订。

预订代码本身远非秘密。它印在行李标签上,大多数人在每次飞行后扔掉 - 即使他们的整个旅行还没有得出结论 - 也嵌入在门票上印刷的QR代码中,这是一个惊人的大量旅行者照片和发布研究人员说,社交媒体网站。

许多航空公司和旅行检查网站唐“T对人们可以在他们”重新封锁之前可以进入的错误代码来限制,这使得它们容易受到蛮力的猜测攻击。研究人员展示他们可以在几分钟内使用自动化方法在几分钟内找到匹配的预订代码。

GDSS通过仅使用大写字母进一步降低这些预订代码的可能性次数。其中一个并不使用1s和0s,避免与字母I和O和O的混淆,其中两个可以顺序增加代码,这可以使攻击者概念在给定的时间段内搜索哪个代码。

旅行社有自己的主登录到GDSS中,这些帐户的密码非常弱。在一种情况下,密码是WS,它代表Web服务,然后是在DDMyy格式中创建登录时的日期。这很容易被强迫,不幸的是,这是研究人员所观察到的最复杂的旅行社密码之一。

除了在访问其他人的预订数据的明显隐私违规之外,攻击者可以滥用这种访问。例如,他们可以向其他人的长途航班增加他们的频繁飞行员号,以获得奖励英里。研究人员表示,他们知道这种技术已经被使用了。

研究人员说,攻击者也可以取消航班,如果票证是灵活的,那么如果票证是灵活的,他们可以使用航空公司给出的信用来为自己预订不同的票据。

了解一个人的确切旅行计划也可以促进强大的网络钓鱼攻击。想象一下,从航空公司收到电子邮件,您最近预订了您的航班,说付款失败,您需要再次输入您的信用卡详细信息。如果电子邮件是真实的,大多数人可能会遵守该请求而不遵守该请求。

要将其全部内容,GDS数据库中没有完成日志记录。研究人员表示,由于没有记录,没有办法告诉谁访问了给定记录以及这些系统中存在多少滥用。

理想的情况是这些系统开始需要适当的密码来访问inpidual PNR,但是“SA非常长期目标”,因为生态系统中的所有玩家 - 旅行社,航空公司,酒店,汽车租赁公司等 - Nohl说,需要随着这种变化而上船上移动并以同样的速度移动。

“至少在短期内,至少我们应该期望能够访问旅行者的网站”个人信息以获得最低限度的网络安全,这包括至少一些速率限制“,”研究人员表示。“直到密码和其他安全措施变得普遍,我认为我们有权了解谁访问我们的记录,并且必须有一些问责制,特别是知道这些系统今天的不安全程度。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。