研究人员警告,飞行预订系统易于破解
遗产航班预订系统非常容易黑客,让旅行者敞开到社会工程和其他形式的网络攻击,安全研究人员警告说。
恶意演员可以渗透这些系统,以改变乘客信息,甚至取消预订,基于柏林的安全研究实验室(SRL)的Karsten Nohl和Nemanja Nikodijevic在汉堡告诉Chaos Communication大会黑客会议。
根据数字趋势,使此类更改所需的所有这些更改是乘客的姓氏和六位数字母数字预订代码或乘客名称记录(PNR)。
研究人员的调查结果在SRL网站上发布的一份报告中详细说明,该报告解释说,全球旅行预订只是少数少数系统。
这三大全球分销系统(GDS)是Amadeus,Sabre和Travelport,它管理超过90%的航班预订以及众多酒店,汽车和其他旅行预订。
但这些系统在20世纪70年代和80年代围绕大型机计算机和租赁线路构建,虽然它们已与Web服务交织起来,但它们仍然缺少几个Web安全最佳实践。
最重要的是,三个预订系统缺乏正确验证旅行者的手段,只依赖于乘客姓名和预订代码,这两者都出现在登机过程中。
研究人员表示,由于它们的生成方式,攻击者可能比五位数密码更容易地强制预订代码。
三个主要预订系统中的两个依次分配预订代码,进一步缩小搜索空间,以及许多系统和航空公司网站允许来自单个IP地址的数千次登录尝试。
研究人员声称,只有乘客的姓氏,他们的预订代码可以在互联网上找到难以努力的努力。
只需姓名和预订代码,攻击者可以访问预订详细信息,这些详细信息通常包括联系信息,如电话号码,电子邮件和邮政地址,旅行日期和偏好以及护照信息。
通过以这种方式访问预订,研究人员表示攻击者也可能接管预订,窃取飞行率里程并开展社会工程攻击,以欺骗旅行者揭示网上银行和其他证书。
研究人员呼吁更好的身份验证和其他安全控件添加到这些预订系统中。
在短期内,他们通过引入措施来防止对航空公司网站的蛮力攻击并使旅行者设置自己的密码来访问预订来提高安全性。
