Cyber cyber des tages

Wenn das fliegen — das ja aus nicht nachvollziehbaren gründen immer noch billiger als das bahnfahren ist — doch einmal zu teuer ist, haben die ticketsysteme ein tolles funkzjonsmerkmal, nämlich die flugmöglichkeit auf kosten anderer leute. [Dauerhaft archivierte meldung]

Man brauche nicht einmal ausgeprägte Hacker-Qualitäten, um sich so Freiflüge zu besorgen […] Aber wo ist die Sicherheitslücke? Flugtickets verfügen in der Regel über einen sechsstelligen Buchungscode. Mehr nicht. „Buchungssystemen fehlt ein Sicherheitsmerkmal, das wir aus allen anderen Computersystemen kennen – und zwar das Passwort“, sagt Nohl. Sobald Passagiere einen Flug gebucht haben, wird ihnen diese sechsstellige Kombination mitgeteilt. Soll später die Buchung verändert werden, um einen Mietwagen ergänzt zum Beispiel, müssen Passagiere an keiner Stelle ein Passwort eingeben. Sie weisen sich mit ihrem Namen und diesem Code aus […] Automatisiert kann ein Hacker das in kürzester Zeit abfragen, der Computer fragt sozusagen immer wieder nach, ob er die richtige Kombination aus Großbuchstaben, Ziffern und Namen gefunden hat. Das Buchungssystem bejaht oder verneint – wird aber offenbar auch erstmal nicht stutzig, wenn diese Abfrage millionenfach vom selben Rechner aus geschieht […] Amadeus wirbt damit, dass ihre Systeme im Jahr 2015 insgesamt 747 Millionen Passagiere bedient haben. IT-Sicherheitsforscher Nohl zufolge, der das System seit Monaten analysiert hat, vergibt Amadeus pro Tag ein bis zwei Millionen Buchungscodes für Flugreisende. „Und wir wissen ziemlich genau, welche Nummern das sind, weil sie fortlaufend vergeben werden.“

Das ist ja wie weihnachten!

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s