Reisebuchungen werden weltweit in einer Handvoll von Systemen verwaltet. Die drei größten Global Distributed Systems (GDS) Amadeus, Sabre und Travelport verwalten mehr als 90 % der Flugbuchungen sowie zahlreiche Hotel-, Mietwagen- und andere Reisebuchungen.
Die heutigen GDS gehen auf die 70er und 80er Jahre zurück, als sie noch auf Großrechnern und Mietleitungen basierten. Seitdem wurden die Systeme mit Webdiensten verwoben, aber es mangelt immer noch an einigen bewährten Web-Sicherheitspraktiken.
Schwache Authentifizierung
Das wichtigste Sicherheitsmerkmal, das alle drei GDS vermissen lassen, ist eine geeignete Methode zur Authentifizierung von Reisenden. Während der Rest des Internets darüber debattiert, welche zweiten und dritten Faktoren zu verwenden sind, bieten die GDS keinen ersten Authentifizierungsfaktor an. Stattdessen wird der Buchungscode (auch PNR-Locator genannt, eine 6-stellige alphanumerische Zeichenfolge wie 8EI29V) verwendet, um auf die Daten der Reisenden zuzugreifen und sie zu ändern.
Der Authentifikator ist auf den Bordkarten und Gepäckanhängern aufgedruckt. Jede Person, die in der Lage ist, den Ausweis oder das Etikett zu finden oder zu fotografieren, kann über die Website des GDS oder der Fluggesellschaft auf die Daten des Reisenden zugreifen – einschließlich E-Mail-Adresse und Telefonnummer.
Schwache Webdienste
Die Daten von Reisenden sind auch durch Online-Hacking gefährdet, da die Authentifikatoren durch Brute-Force-Verfahren erzwungen werden können. Die Art und Weise, wie 6-stellige Buchungscodes gewählt werden, macht sie schwächer als ein 5-stelliges Passwort (<28,5 Bit), das für die meisten Anwendungen als unsicher gelten würde. Zwei der drei wichtigsten GDS vergeben die Buchungscodes sequentiell, was den Suchraum weiter verkleinert. Schließlich erlauben viele GDS- und Fluglinien-Websites das Ausprobieren von mehreren tausend Buchungscodes von einer einzigen IP-Adresse aus. Wenn man nur die Nachnamen der Passagiere kennt, kann man ihre Buchungscodes mit wenig Aufwand über das Internet finden.
Missbrauchsmöglichkeiten
Mit dem Buchungscode eines Passagiers kann ein Eindringling:
- In die Privatsphäre der Reisenden eindringen. Die Buchungsübersicht enthält in der Regel Kontaktinformationen wie Telefonnummer, E-Mail und Postanschrift, Reisedaten und -präferenzen und oft auch Passdaten.
- Flüge stehlen. Die meisten Fluggesellschaften erlauben Flugänderungen, einige sogar Stornierungen gegen einen Gutschein, so dass ein Betrüger kostenlos reisen kann.
- Umleiten von Meilen. Durch Ändern der Vielfliegerdaten bei der Buchung kann ein Betrüger Meilen stehlen, ohne einen Flug zu nehmen
- Phishing/Vishing durchführen. Wenn ein Eindringling die Details einer gerade getätigten Buchung kennt – was bei GDS, die sequenzielle Buchungscodes verwenden, möglich ist – kann er Reisende für Social Engineering ansprechen und nach ihren Zahlungsinformationen oder Vielfliegerdaten fragen.
Der Weg in die Zukunft
Globale Buchungssysteme haben bei vielen Technologien Pionierarbeit geleistet, so auch beim Cloud Computing. Jetzt ist es an der Zeit, bewährte Sicherheitspraktiken einzuführen, die andere Cloud-Nutzer schon lange als selbstverständlich erachten.
Kurzfristig sollten alle Websites, die den Zugriff auf Reisedaten ermöglichen, einen angemessenen Brute-Force-Schutz in Form von Captchas und Wiederholungslimits pro IP-Adresse vorsehen.
Mittelfristig müssen Buchungen von Reisenden durch eine ordnungsgemäße Authentifizierung gesichert werden, zumindest durch ein änderbares Passwort.
Referenzen
- Konferenz-Präsentation. Einzelheiten wurden auf der 33C3 am 27. Dezember 2016 vorgestellt: Skizze und Folien, Video
- Weitere Lektüre. Viele weitere Informationen aus vielen Jahren der Forschung sind auf Edward Hasbroucks Blog verfügbar
- Bildnachweis. Filmplakat „Catch me if you can“