TUR-INFO.pl | Serwis informacyjny branży turystycznej
ZAJRZYJ DO NAS NA: TUR-INFO.PL na Facebook TUR-INFO.PL na Twitter

NIGDY nie pokazuj biletów lotniczych!

Dla wszystkich latających i sprzedających bilety lotnicze. Atak na Was to tylko kwestia czasu więc trzeba przeciwdziałać już teraz.


Po ubiegłorocznych doniesieniach odnośnie bezpieczeństwa stref na lotniskach, eksperci wykazali teraz także duże słabości zabezpieczeń danych pasażerów w systemach GDS. Jak opisał m.in. Kaspersky Lab badacze bezpieczeństwa zainteresowali się kwestią dostępu do danych i działań możliwych w systemach GDS i problem jest realny (opis przedstawiono na Chaos Communication Congress 28 grudnia 2016 roku).

Na początek zasady

Zaczynamy od zasad, bo nie każdy lubi szczegóły techniczne. Trzymając się poniższych 3 prostych reguł i przekazując je klientom ustrzeżemy się przed większością problemów i odpowiedzialnością za ewentualne przyczynienie się do szkody.


  1. Nie udostępniamy/publikujemy zdjęć biletów.
  2. Karty używane do bookowania biletów należy regularnie sprawdzać w celu kontroli nielegalnych operacji
  3. Należy ostrożnie podchodzić do komunikatów od "linii lotniczych", które czegoś od nas chcą (szczególnie ponowienia danych karty itp.).


Pisaliśmy już kiedyś o hackowaniu zabezpieczeń lotnisk Luka w zabezpieczeniu lotnisk - od lat i choć to zagrożenie wydało nam się warte uwagi, to obecnie opisane problemy przekraczają zwykłe ramy i w dobie coraz bardziej wyrafinowanych ataków mogą zagrozić tysiącom osób na raz.

Opis problemów

Realny problem przedstawiony przez badaczy bezpieczeństwa polegał na tym, że dostęp do naszych danych w GDSach jest "zabezpieczony" po przez podanie nazwiska oraz 6-cyfrowego kodu rezerwacji (większość podróżnych zna go jako PNR)! Słowo zabezpieczony to złe słowo w tym kontekście... bo kod PNR można odczytać z biletów, a także np. z bagaży (i przed tym nie można się łatwo ustrzec).

Kto chce zobaczyć jak to działa niech zobaczy film wystarczy oglądnąć kilka minut filmu (od około 17:59) - cały film niestety ma godzinę
media.ccc.de

Niestety równie gorzką pigułką jest fakt, iż kod PNR jest... łatwy do przełamania. Zakładając, że znamy nazwisko, to całe zabezpieczenie bazuje tu bowiem na 6 znakowym kodzie, który często jest przydzielany w dość przewidywalny sposób. Badacze ocenili, że w Amadeus, Sabe i Galileo entropia nie przekracza 29 bitów (czyli ilość możliwych kodów nie przekracza około 53 milionów możliwości). W połączeniu z mało efektywnymi zabezpieczeniami przed zgadywaniem kodu pozwala to w sposób "brutalny" złamać zabezpieczenie. Na szczęście wymaga to już większych działań i operacja na skalę masową zostanie odkryta (jedno nazwisko można przełamać za pomocą grupy komputerów np. botnetu, ale wiele takich prób po prostu przeciąży system).

Jakie dane są dostępne w systemach? Wszystkie dane osobowe niezbędne do wystawienia biletu, dane kart lojalnościowych, a także dokumentów podróżnych. Może się także okazać, że rekord zawiera dane karty płatniczej lub można je uzyskać z systemu w jakiś inny sposób (bazując na posiadanych danych). To bardzo duże pole do popisu dla hakerów.

Jak podumowali zagrożenie eksperci z Kaspersky Lab:
Ponadto korzystając z kodu PNR i po wyszukaniu innych danych osobistych hakerzy mogą zmienić dane biletu. Mogą oni anulować bilet i żądać dokonania zwrotu pieniędzy na własne konto. Mogą również zmienić imię właściciela biletu, nazwisko, a także numer paszportu, więc na wycieczkę wybierze się inna osoba (zadziwiające, lecz w niektórych serwisach jest to możliwe). Ostrożniejszy lub łaskawszy przestępca zmieni tylko dane osoby, która często podróżuje, i będzie gromadził mile, które powinny trafić do oryginalnego właściciela biletu. Wychodzi więc na to, że korzystając z kodów PNR jako haseł, systemy GDS zazwyczaj oferują hakerom darmowe loty, nielimitowane mile, a nawet pieniądze.
Cały artykuł można znaleźć na plblog.kaspersky.com

Jak żyć z tym problemem?

Zmiana zabezpieczeń systemów z pewnością nastąpi, ale z uwagi na to, że są to ogromne systemy połączone wieloma łączami ze sobą będzie trwała długo lub bardzo długo... na obecną chwilę należy przestrzegać w/w zasad i korzystać ze zdrowego rozsądku - tu przede wszystkim nie dać się nabrać na ewentualne fałszywe prośby o uzupełnienie danych płatniczych itp. bo taki atak jest najłatwiejszy (z reguły najlepiej chronione są dane płatnicze).




Komentarze

(kiedy jest to możliwe, sugerujemy podpisanie się)

(akceptacja regulaminu)



Tagi:
PNR dane pasażera niebezpieczeństwo kod hacker karta kredytowa dane osobowe




Ta strona przetwarza dane osobowe oraz używa COOKIES. Szczegóły przetwarzania danych osobowych są opisane w polityce prywatności. Korzystając z tej strony wyrażasz zgodę na wykorzystywanie cookies zgodnie z ustawieniami Twojej przeglądarki i akceptujesz regulamin strony. Wszelkie szczegóły w regulaminie, polityce prywatności oraz polityce cookies.
  Akceptuję