Hackere kan ændre din rejse i flyselskabers forældede it-systemer

Hackere kan ændre din rejse i flyselskabers forældede it-systemer
Illustration: Bigstock.
Dårlig sikkerhed i it-systemer for flyselskaber gør det muligt for hackere nemt at ændre og aflyse andres rejser. Det afslører en ny undersøgelse. Ifølge holdet bag er der endnu ikke udsigt til, at problemet fikses.
27. december 2016 kl. 08:55
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Det er faktisk overraskende nemt at ændre en anden persons juleferierejse – uden at have fået tilladelse til det. Mangelfulde krav til at autentificere brugere af it-systemer hos flyselskaber og rejseagenter får i særdeleshed skylden for problemet, skriver det amerikanske onlinemedie Motherboard.

En stor del af de it-systemer, der bruges af flyselskaber og rejseagenter, er årtier gamle og er derfor sårbare overfor simple forsøg på trænge igennem sikkerhedsmurene, som skal beskytte brugernes oplysninger.

»Ligegyldigt hvornår du tager en rejse, er du i et eller flere af disse systemer,« forklarer Karsten Nohl, som er en del af researcherholdet bag undersøgelsen, til Motherboard.

Teamet har kigget på såkaldte ’Globale Distributions Systemer’ (GDS), som benyttes af blandt andet flyselskaber til at håndtere tildelingen af flybilletter.

Artiklen fortsætter efter annoncen

På den måde lykkedes det blandt andet for holdet bag undersøgelsen at skaffe sig adgang til oplysninger om en tysk senators flyrejse og for derefter at ændre en journalists flybillet, så den tyske reporter kunne sidde ved siden af politikeren.

Flyselskabernes it-systemer: Brugernes kodeord brydes nemt

Metoden til at hacke sig adgang til oplysninger og ændre rejsetider er enkel.

Når nogen bestiller en billet, modtager de eksempelvis en kode på seks tegn fra flyselskabet.

Ved at indtaste koden og personens efternavn på selskabets hjemmeside kan eventuelle hackere få adgang til information om rejsen og dermed ændre rejsetid eller aflyse bestilte ture.

Selvom der mange millioner muligheder for at kombinere seks forskellige tegn, kan en computer hurtigt tonse igennem kombinationer af tal og bogstaver for at finde frem til den rette – især fordi sikkerheden halter på området.

Flere af de globale distributions systemer (GDS) har for eksempel ikke begrænsninger for, hvor mange gange hackere kan forsøge at gætte det rigtige kodeord med hjælp fra regnekraften fra en computer inden for et bestemt tidsrum. Således havde forskerne bag undersøgelse let ved på kort tid automatisk at teste millioner af mulige kodekombinationer.

Nogle af disse koder anvender ikke tallene nul og et for at undgå forvirring over de lignende bogstaver.

Desuden benytter nogle GDS’er kun store bogstaver og ingen specielle tegn. Men det slutter ikke her. Flertallet af flyselskaber bruger derudover fortløbende tal i deres kodeord, og det øger risikoen for, at hackere kan forudsige på hvilke tidspunkter af dagene eller ugen, at bestemte tal bliver benyttet.

Der er også eksempler på, at denne type kode er fundet på boardingpas og baggagemærker, hvilket heller ikke bidrager til at styrke sikkerheden.

I de værste tilfælde kan sikkerhedshullerne føre til, at hackere får mulighed for at begå svindel, oplyser Kasten Nohl til Motherboard. Eksempelvis ved at aflyse en anden persons rejse for at modtage en kupon, som hackeren kan bruge til at booke en helt anden flyrejse.

Ingen udsigt til fuldstændig forandring

Ifølge Karsten Nohl har nogle flyselskaber berettet, at de vil forbedre sikkerheden. Men da flere af it-systemerne for forskellige selskaber er forbundet med hinanden, vil der fortsat være sårbarheder, som hackere kan udnytte.

»Trods ansvarlig oplysning, som vi gør lige nu, synes der ikke at være en klar vej til et bedre system endnu,« fortæller Karsten Nohl.

Researcherne bag undersøgelsen præsenterer deres resultater tirsdag til 'Chaos Communication Congress Hacking Festival', Europas største forsamling for hackere. Begivenheden er arrangeret af Chaos Computer Club, som er en organisation for hackere i Europa.

Ingen kommentarer endnu.  Start debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger