这是2017年,改变别人的航班预订是非常容易的
每天数百万人使用的旅行预订系统都是令人窒息的,缺乏现代认证方法。这让攻击者能够轻松修改其他人的保留,取消他们的航班,甚至使用退款来为自己预订门票,根据这一在线生态系统的研究人员进行了评分。
基于柏林的咨询安全研究实验室的Karsten Nohl和Nemanja Nikodijevic已经花了几个月调查旅行社,航空公司,酒店和汽车租赁公司使用的全球分销系统(GDSS)所雇用的安全。他们于周二在汉堡的第33届Chaos Communications大会上提出了他们的调查结果。
GDSS是数据库,日期回到大型机时代,并保存有关旅行预订的所有信息,如旅行者的名称,旅行日期,行程,票证详细信息,电话和电子邮件联系人,护照信息,信用卡号,座椅编号和行李信息。所有这些数据都构成所谓的乘客名称记录(PNR)。
世界上三大GDS运营商是Saber,Travelport和Amadeus,他们在任何时候都在数百万个旅行者储存PNR。添加或修改的任何数据都存储在其系统中,并且访问该信息所需的所有数据通常是姓氏和六个字符的预订代码。
这些系统中有多个接入点,这包括由航空公司和旅行社运营的网站,也包括核心条目等第三方网站。即使其中一些要求更多的信息除其他人是否除了最后一个名称之外,还要求验证用户 - 像姓氏之外的第一个名称 - PNR的保护级别最终是链中最薄弱的链接。
例如,如果预订包括带有不同航空公司的航班,则可以通过任何运行行程不同腿的航空公司的网站访问和修改预订。
预订代码本身远非秘密。它印在行李标签上,大多数人在每次飞行后扔掉 - 即使他们的整个旅行还没有得出结论 - 也嵌入在门票上印刷的QR代码中,这是一个惊人的大量旅行者照片和发布研究人员说,社交媒体网站。
许多航空公司和旅行检查网站唐“T对人们可以在他们”重新封锁之前可以进入的错误代码来限制,这使得它们容易受到蛮力的猜测攻击。研究人员展示他们可以在几分钟内使用自动化方法在几分钟内找到匹配的预订代码。
GDSS通过仅使用大写字母进一步降低这些预订代码的可能性次数。其中一个并不使用1s和0s,避免与字母I和O和O的混淆,其中两个可以顺序增加代码,这可以使攻击者概念在给定的时间段内搜索哪个代码。
旅行社有自己的主登录到GDSS中,这些帐户的密码非常弱。在一种情况下,密码是WS,它代表Web服务,然后是在DDMyy格式中创建登录时的日期。这很容易被强迫,不幸的是,这是研究人员所观察到的最复杂的旅行社密码之一。
除了在访问其他人的预订数据的明显隐私违规之外,攻击者可以滥用这种访问。例如,他们可以向其他人的长途航班增加他们的频繁飞行员号,以获得奖励英里。研究人员表示,他们知道这种技术已经被使用了。
研究人员说,攻击者也可以取消航班,如果票证是灵活的,那么如果票证是灵活的,他们可以使用航空公司给出的信用来为自己预订不同的票据。
了解一个人的确切旅行计划也可以促进强大的网络钓鱼攻击。想象一下,从航空公司收到电子邮件,您最近预订了您的航班,说付款失败,您需要再次输入您的信用卡详细信息。如果电子邮件是真实的,大多数人可能会遵守该请求而不遵守该请求。
要将其全部内容,GDS数据库中没有完成日志记录。研究人员表示,由于没有记录,没有办法告诉谁访问了给定记录以及这些系统中存在多少滥用。
理想的情况是这些系统开始需要适当的密码来访问inpidual PNR,但是“SA非常长期目标”,因为生态系统中的所有玩家 - 旅行社,航空公司,酒店,汽车租赁公司等 - Nohl说,需要随着这种变化而上船上移动并以同样的速度移动。
“至少在短期内,至少我们应该期望能够访问旅行者的网站”个人信息以获得最低限度的网络安全,这包括至少一些速率限制“,”研究人员表示。“直到密码和其他安全措施变得普遍,我认为我们有权了解谁访问我们的记录,并且必须有一些问责制,特别是知道这些系统今天的不安全程度。”