10 Jan 2017

Freiflüge und vieles mehr durch unsichere Buchungssysteme

Sicherheit

Viele posten online Fotos von ihren Tickets. Warum auch nicht? Allein Instagram enthält Tausende Fotos von Konzertkarten, Flugtickets und sogar Lotterielosen.

Wenn es jeder tut, warum sollte ich es nicht?

Booking systems' insecurity allows free flights and more

Tatsächlich ist das Letzte, was Sie mit Tickets oder Bordkarten tun sollten, sie online zu posten. Dieses Stück Papier enthält Daten, mit denen jeder Ihr Ticket stehlen (das ist keine Übertreibung!), sich Flugmeilen hinzufügen oder Ihnen sogar einen Streich spielen kann. Vor etwas mehr als einem Jahr sprachen wir darüber, welche schlechten Scherze man mit Ticketinformationen treiben kann. Kürzlich sprachen die Sicherheitsexperten Karsten Nohl und Nemanja Nikodijevic dieses Thema auf dem Chaos Communication Congress (33С3) erneut an.

Fluggesellschaften, Reiseveranstalter, Webseiten zum Preisvergleich, und viele andere Dienste arbeiten zusammen, um Reisenden einfache Buchungsmöglichkeiten anzubieten. Die Branche nutzt Global Distribution Systems (GDS), um verfügbare Flüge zu prüfen, sicherzustellen, dass Sitze nicht doppelt gebucht wurden, usw. GDSs sind mit Webdiensten eng verbunden – aber nicht mit den besten Online-Schutzpraktiken. Dadurch ist die aktuelle GDS-Technologie bezüglich Schutz veraltet und bietet Kriminellen eine riesige Angriffsfläche.

Obwohl es zurzeit um die 20 GDS-Anbieter gibt, konzentrierte sich das Sicherheitsduo Nohl und Nikodijevic auf diese drei Hauptsysteme: Sabre (1960 gegründet), Amadeus (1987 gegründet) und Galileo (jetzt Teil von Travelport). Diese Systeme verwalten mehr als 90 % der Flugreservierungen, sowie von Hotel-, Fahrzeug- und Reisebuchungen.

So arbeiteten Lufthansa und AirBerlin mit Amadeus und mit dem Reiseveranstalter Expedia. American Airlines und die russische Fluggesellschaft Аeroflot setzten auf Sabre. Jedoch ist es schwer zu bestimmen, welches GDS die persönlichen Daten eines bestimmten Passagiers speichert: Wenn Sie z. B. ein Flugticket mit American Airlines über Expedia buchen, zeichnen Amadeus und Sabre den Kauf auf.

Abhängig von den Regeln des Buchungssystems enthalten GDS-Datensätze normalerweise Namen und Telefonnummer des Passagiers, sowie seine Ticketnummer, Abflugs- und Ankunftsflughafen, und Datum und Zeit des Flugs. Es beinhaltet auch Zahlungsinformationen (wie Kreditkartennummern). Anders gesagt: recht vertrauliche Informationen.

Nohl und Nikodijevic wiesen darauf hin, dass viele auf diese Daten Zugriff hätten, einschließlich Beschäftigte von Fluggesellschaften, Reiseveranstalter, Hotelvertreter, usw. Forscher gehen davon aus, dass diese Daten auch von Regierungsstellen gelesen werden können. Aber das ist nur die Spitze des Eisbergs.

Um auf diese Informationen zuzugreifen und sie zu ändern, verwenden GDSs den Namen des Reisenden als Login und einen sechsstelligen Buchungscode (die meisten Reisenden kennen ihn als einen PNR) als Passwort. Ja, das ist der PNR, der sichtbar auf Bordkarten und Gepäckanhängern gedruckt ist. Als Passwort.

People post photos of their tickets online. Why shouldn't they? Instagram alone contains thousands of images showing concert, airplane, and even lottery tickets.

„Wenn der PNR ein sicheres Passwort sein soll, dann muss er auch als solches behandelt werden“, so Nohl auf der Konferenz. „Aber man macht aus ihm kein Geheimnis: Er ist auf jedem Gepäckstück zu sehen. Er wurde zuvor auf Bordkarten gedruckt, bis er verschwand und durch einen Strichcode ersetzt wurde.“ Dieser Strichcode enthält übrigens noch immer den PNR.

Die Mehrheit der Reisenden versteht die inneren Abläufe der Flugbranche nicht, also veröffentlichen sie online eifrig ihre Tickets zusammen mit PNR, verschlüsselt in einem Strichcode. Jedoch ist ein Strichcode kein Mysterium; er kann durch spezielle Software gelesen werden. Also kann jeder, der ein Foto von Ihrem Kofferanhänger auf einem Flughafen macht oder Ihr Ticket online gefunden hat, auf Ihre persönlichen Daten zugreifen. Man muss kein Hacker sein, um PNR-Schwachstellen auszunutzen — man muss nur wissen, wo man nachschauen muss. In dem Video unten können Sie sehen, wie Nohl und Nikodijevic den Strichcode von einem Instagram-Foto eines Flugtickets entschlüsselten.

 

Außerdem blockieren viele Fluggesellschaften und Vergleichsportale keine User, die mehrmals einen falschen Code eingeben. Dadurch können Kriminelle übliche Nachnamen, wie Schneider, wählen und einfach PNRs dieser Passagiere mit roher Gewalt herausfinden. Es ist nicht schwierig: Der Code besteht aus sechs Stellen, und Algorithmen zur Codeerzeugung leiden oft unter bestimmten Schwächen. So wiederholen einige von ihnen aufeinanderfolgend die ersten zwei Zeichen, und alle PNRs, die an einem bestimmten Datum erstellt wurden, beginnen mit denselben Zeichen. Andere Anbieter nutzen bestimmte Codes für bestimmte Fluggesellschaften. Diese Methoden schränken die Anzahl der Stellen ein, die ein Krimineller erraten muss.

Während des Chaos Communication Congress zeigten Nohl und Nikodijevic, dass das Hacken eines PNR nur eine Minute braucht. Auf dem gleichen Video finden Sie eine genaue Beschreibung dazu, wie das funktioniert, sowie eine Echtzeitdemonstration des ganzen Prozesses.

Festgehalten werden kann, dass Kriminelle GDSs für sensible Passagierdaten erstellen können und sie zum fortgeschrittenen Phishing verwenden. Stellen Sie sich folgende Situation vor: Herr Schneider bucht einen Flug nach Berlin und erhält 10 Minuten später eine E-Mail von seiner Airline, die nach einer Bestätigung seiner Kreditkarteninformationen fragt. Die Mail enthält seinen Vor- und Nachnamen, Zielflughafen und andere genaue Buchungsdetails. Wirkt sie glaubhaft? Natürlich! Herr Schneider klickt sehr wahrscheinlich auf den Link in der E-Mail und stellt seine Kreditkarteninformationen (einer falschen Webseite) bereit.

Hacker können auch mit einem PNR und nach der Suche einiger persönlicher Daten die Ticketdaten ändern. Sie könnten das Ticket stornieren und das Geld auf ihr eigenes Konto überweisen lassen. Oder sie könnten den Vor- und Nachnamen, und die Ausweisnummmer des Ticketbesitzers ändern, wodurch eine andere Person die Reise antreten könnte (überraschend, aber bestimmte Dienste lassen dies zu). Ein vorsichtigerer oder großzügiger Krimineller könnte einfach die Vielfliegerdaten ändern und Meilen erhalten, die dem ursprünglichen Ticketbesitzer zustünden. Letztendlich bieten GDSs durch Nutzen von PNRs als Passwort Hackern kostenlose Flüge, unbeschränkte Meilen und sogar Geld.

Eine andere extrem enttäuschende Tatsache: Obwohl Experten und Medien diese Frage in den vergangenen Jahren mehrmals aufgebracht haben, lehnen GDS-Unternehmen noch immer eine Protokollierung der PNR-Zugriffe ab. Daher kann ein Großteil der Missbrauchsfälle nicht nachverfolgt werden. Nur wenige Vorfälle wurden bekannt— z. B. wenn Kriminelle Tickets von Reisenden stahlen und die Opfer sich dann beschwerten. Bei intelligenterem Betrug und Datendiebstahl können Spezialisten das Ausmaß des Problems nicht einschätzen.

Nohl und Nikodijevic sind sich sicher, dass Kunden in nächster Zeit keine grundlegenden Veränderungen erwarten können. Das gesamte Buchungssystem muss umgeschrieben werden und leider kann nur ein Anstieg des PNR-Betrugs die Fluggesellschaften dazu bringen.

Momentan empfehlen wir zwei einfache Vorgehensweisen: Bleiben Sie aufmerksam und posten Sie niemals Ihren Bordpass online. Selbst alte Tickets enthalten noch viele Ihrer persönlichen Informationen.