חוקרי אבטחה: כשלים באתרי אינטרנט גורמים לכך שהמערכות המקוונות להזמנת טיסות נמצאות בסיכון

חוקרי האבטחה Karsten Nohl  ו- Nemanja Nikodijevic בחברת האבטחה Security Research Labs שבסיסה במינכן גרמניה טוענים כי רמת האבטחה של המערכות המקוונות להזמנת טיסות ‘תקועות בשנות ה- 90’ וכי שינוי פרטי ההזמנה של המבקשים לטוס הוא דבר שקל מאוד לבצע ע”י מי שאינם מורשים לכך.

מדבור במערכות הזמנת טיסות לטובת מיליוני נוסעים מידי יום ברחבי העולם ולטענת החוקרים הן בלתי מאובטחות ונעדרות שיטות אימות זהות [authentication] מודרניות. הדבר מאפשר להאקרים לבצע בקלות שינויים בפרטי ההזמנות של אנשים אחרים, ביטול הזמנות לטיסות שכבר בוצעו ואפילו שימוש בקבלת החזר (עבור טיסה מבוטלת) כדי לרכוש כרטיסי טיסה חדשים לעצמם.

החוקרים חקרו במשך חודשים את היבטי האבטחה של ה- Global Distribution Systems, GDSs, המערכת בה עושים שימוש סוכנויות נסיעות, חברות תעופה, בתי-מלון וסוכנויות להשכרת רכב.

ה- GDSs הם מסדי נתונים מעידן מחשבי המיינפריים וכוללים את כל המידע לגבי הזמנות טיסות כמו שם המזמין/ה, לוח זמנים, פרטיס כרטיס/ים, מספר טלפון וכתובת דואר אלקטרוני, פרטי הדרכון, מספר כרטיס האשראי, מיקום הישיבה במהלך הטיסה ומידע לגבי הכבודה של הנוסע/ת. כל אלה מרכיבים את מה שמכונה Passenger Name Records, PNRs.

שלושת מפעילי ה- GDSs הגדולים ביותר בעולם הם חברת Sabre, חברת Travelport וחברת Amadeus.

לדברי החוקרים, מערכות ההזמנות משתמשות בקודים בני שש ספרות כדי לזהות את הנוסעים ודי קל לנחש את הקודים הללו.

החוקרים הציגו את ממצאי המחקר שלהם בכנס ה- Chaos Communications Congress ה- 33 שנערך בהמבורג גרמניה. תחת הכותרת  Legacy booking systems disclose travelers’ private information הם גם פירסמו פוסט בנושא זה בבלוג שלהם.