TUR-INFO.pl | Serwis informacyjny branży turystycznej
ZAJRZYJ DO NAS NA: TUR-INFO.PL na Facebook TUR-INFO.PL na Twitter

NIGDY nie pokazuj biletów lotniczych!

Dla wszystkich latających i sprzedających bilety lotnicze. Atak na Was to tylko kwestia czasu więc trzeba przeciwdziałać już teraz.


Po ubiegłorocznych doniesieniach odnośnie bezpieczeństwa stref na lotniskach, eksperci wykazali teraz także duże słabości zabezpieczeń danych pasażerów w systemach GDS. Jak opisał m.in. Kaspersky Lab badacze bezpieczeństwa zainteresowali się kwestią dostępu do danych i działań możliwych w systemach GDS i problem jest realny (opis przedstawiono na Chaos Communication Congress 28 grudnia 2016 roku).

Na początek zasady

Zaczynamy od zasad, bo nie każdy lubi szczegóły techniczne. Trzymając się poniższych 3 prostych reguł i przekazując je klientom ustrzeżemy się przed większością problemów i odpowiedzialnością za ewentualne przyczynienie się do szkody.


  1. Nie udostępniamy/publikujemy zdjęć biletów.
  2. Karty używane do bookowania biletów należy regularnie sprawdzać w celu kontroli nielegalnych operacji
  3. Należy ostrożnie podchodzić do komunikatów od "linii lotniczych", które czegoś od nas chcą (szczególnie ponowienia danych karty itp.).


Pisaliśmy już kiedyś o hackowaniu zabezpieczeń lotnisk Luka w zabezpieczeniu lotnisk - od lat i choć to zagrożenie wydało nam się warte uwagi, to obecnie opisane problemy przekraczają zwykłe ramy i w dobie coraz bardziej wyrafinowanych ataków mogą zagrozić tysiącom osób na raz.

Opis problemów

Realny problem przedstawiony przez badaczy bezpieczeństwa polegał na tym, że dostęp do naszych danych w GDSach jest "zabezpieczony" po przez podanie nazwiska oraz 6-cyfrowego kodu rezerwacji (większość podróżnych zna go jako PNR)! Słowo zabezpieczony to złe słowo w tym kontekście... bo kod PNR można odczytać z biletów, a także np. z bagaży (i przed tym nie można się łatwo ustrzec).

Kto chce zobaczyć jak to działa niech zobaczy film wystarczy oglądnąć kilka minut filmu (od około 17:59) - cały film niestety ma godzinę
media.ccc.de

Niestety równie gorzką pigułką jest fakt, iż kod PNR jest... łatwy do przełamania. Zakładając, że znamy nazwisko, to całe zabezpieczenie bazuje tu bowiem na 6 znakowym kodzie, który często jest przydzielany w dość przewidywalny sposób. Badacze ocenili, że w Amadeus, Sabe i Galileo entropia nie przekracza 29 bitów (czyli ilość możliwych kodów nie przekracza około 53 milionów możliwości). W połączeniu z mało efektywnymi zabezpieczeniami przed zgadywaniem kodu pozwala to w sposób "brutalny" złamać zabezpieczenie. Na szczęście wymaga to już większych działań i operacja na skalę masową zostanie odkryta (jedno nazwisko można przełamać za pomocą grupy komputerów np. botnetu, ale wiele takich prób po prostu przeciąży system).

Jakie dane są dostępne w systemach? Wszystkie dane osobowe niezbędne do wystawienia biletu, dane kart lojalnościowych, a także dokumentów podróżnych. Może się także okazać, że rekord zawiera dane karty płatniczej lub można je uzyskać z systemu w jakiś inny sposób (bazując na posiadanych danych). To bardzo duże pole do popisu dla hakerów.

Jak podumowali zagrożenie eksperci z Kaspersky Lab:
Ponadto korzystając z kodu PNR i po wyszukaniu innych danych osobistych hakerzy mogą zmienić dane biletu. Mogą oni anulować bilet i żądać dokonania zwrotu pieniędzy na własne konto. Mogą również zmienić imię właściciela biletu, nazwisko, a także numer paszportu, więc na wycieczkę wybierze się inna osoba (zadziwiające, lecz w niektórych serwisach jest to możliwe). Ostrożniejszy lub łaskawszy przestępca zmieni tylko dane osoby, która często podróżuje, i będzie gromadził mile, które powinny trafić do oryginalnego właściciela biletu. Wychodzi więc na to, że korzystając z kodów PNR jako haseł, systemy GDS zazwyczaj oferują hakerom darmowe loty, nielimitowane mile, a nawet pieniądze.
Cały artykuł można znaleźć na plblog.kaspersky.com

Jak żyć z tym problemem?

Zmiana zabezpieczeń systemów z pewnością nastąpi, ale z uwagi na to, że są to ogromne systemy połączone wieloma łączami ze sobą będzie trwała długo lub bardzo długo... na obecną chwilę należy przestrzegać w/w zasad i korzystać ze zdrowego rozsądku - tu przede wszystkim nie dać się nabrać na ewentualne fałszywe prośby o uzupełnienie danych płatniczych itp. bo taki atak jest najłatwiejszy (z reguły najlepiej chronione są dane płatnicze).



Share

Komentarze

(kiedy jest to możliwe, sugerujemy podpisanie się)

(akceptacja regulaminu)


Tagi:
PNR dane pasażera niebezpieczeństwo kod hacker karta kredytowa dane osobowe

Dział biura turystyczne:

Majówka - rekord już padł

Rainbow dzieli zyski

Ceny wyjazdów stabilne

Plany Polaków na majówkę

Nowa ambasadorka Itaki

Dział dla turystów:

Rainbow dzieli zyski

Udany pierwszy kwartał w Porcie Lotniczym Gdańsk

IGHP: Wielkanoc dobra, majówka będzie jeszcze lepsza

LOT zapowiada nowe połączenie z Warszawy

Koniec konfliktu Anex Tours i JoinUp! z agentami

Dział aktualności dnia:

Strajk we Francji

Rainbow dzieli zyski

Plany Polaków na majówkę

Nowa ambasadorka Itaki

Średnia cena dalej spada

Dział transport:

Strajk we Francji

Zmiany w Radzie Nadzorczej CPK

Udany pierwszy kwartał w Porcie Lotniczym Gdańsk

Zmiana na czele ULC

Przychody eSky rosną

Starsze aktualności:

Chorwacja chce jeszcze więcej turystów

ERIF BIG straszy klientów biur podróży

Eventy dalej w cenie

Join Up! Polska uruchamia sprzedaż samych przelotów

Wzrost płacy minimalnej uderzy w hotelarstwo i gastronomię

Programy wsparcia dla turystyki

Pasażerowie opóźnionego samolotu sami wykupili nocleg. Przewoźnik powinien to zwrócić?

Ecco Travel wraca z chińską ofertą

Prawie 75 mln wyjazdów turystycznych Polaków

Francuska turystyka cierpi

ZOPOT w Pradze otwarty

Spadają ceny prawie wszędzie

Czy konsolidator usług hotelowych może rozliczać się wg procedury VAT marża?

Wyspy Wolin i Uznam lepiej połączone z resztą kraju

Kraków wprowadza ograniczenia sprzedaży alkoholu

Mieszańcy Małopolski wytypowali miejsca, które warto zobaczyć

Na co zwracać uwagę przy kupnie ubezpieczenia turystycznego?

PKP Intercity testuje nowe pociągi

Brexit przyczyną mniejszych zysków przewoźników?

Enter Air zapowiada nowe inwestycje

Krakowskie świąteczne tradycje mogą zainteresować turystów

Znamy laureatów konkursu `Odys 2015`

DreamTravels Poznań - co wiecie na temat tego biura?

formy promocji ofert

Biuro Podróży w Krakowie

Krakowskie lotnisko obsłużyło 4 mln pasażerów

Przyspieszył wzrost sprzedaży wycieczek

Coraz więcej turystów na Półwyspie Iberyjskim

Travelport zawarł umowę z grupą Radius Travel

Wakacje ważniejsze niż zmiana auta

Turecka branża turystyczna w opałach

Turyści w bazie noclegowej - kwiecień 2016 r.

joasia

targi turystyczne

WYPOCZYNEK W BIESZCZADACH NAD JEZIOREM SOLINSKIM

Rząd dopłaci do każdego zagranicznego turysty?

Wizz Air otworzył nową bazę w Gruzji

Orbis wyróżniony w konkursie `Lider Polskiego Biznesu`

MSZ odradza podróż do północnej i środkowej Nigerii

Nowa kawiarnia w Warszawie

Grecos rozpoczął sprzedaż oferty na lato 2017

systemy rezerwacji w biurach

Sylwester Łeba Party Camp 2011!

Poszukujemy do pracy

Z kim na Cypr?
Ta strona przetwarza dane osobowe oraz używa COOKIES. Szczegóły przetwarzania danych osobowych są opisane w polityce prywatności. Korzystając z tej strony wyrażasz zgodę na wykorzystywanie cookies zgodnie z ustawieniami Twojej przeglądarki i akceptujesz regulamin strony. Wszelkie szczegóły w regulaminie, polityce prywatności oraz polityce cookies.
  Akceptuję