Системы бронирования авиабилетов. Информационные технологии
 
ТоварыВалюты, ЦБАкции
13 декабря 20:15
Золото ЦБ
₽2352
-31,22
Золото
$1247
0,09%
Серебро ЦБ
₽29,95
-0,19
Серебро
$15,8
0,16%
Нефть
$62,6
-1,65%

₽2,17
0,00

₽0,18
0,00
Br
₽29,0
-0,14

₽69,3
-0,50
€ / $
1,18
0,29%
Bitcoin
$16641
-3.12%
Ethereum
$708
8.81%
Ростелеком
₽64,5
0,00%
Яндекс
₽1938
-0,82%
Mail.ru
$28,6
-1,38%
Luxoft
$54,0
0,75%
Epam
$106,0
1,33%
Мегафон
₽517,6
-0,77%
МТС
₽250,9
-0,91%
Veon
$3,9
0,52%
Qiwi
₽826
-1,78%
РБК
₽5,8
-0,60%
2016/12/29 08:05:14

Системы бронирования авиабилетов

.

Крупнейшие системы онлайн-бронирования авиабилетов предлагают следующие компании:

2016: В системах онлайн-бронирования авиабилетов не нашли базовых средств защиты данных

Крупнейшие системы онлайн-бронирования авиабилетов чрезвычайно уязвимы к хакерским атакам и с большой лёгкостью могут быть использованы для несанкционированного получения персональных данных пассажиров, утверждают эксперты немецкой компании Security Research Labs.

Проблема, по словам экспертов, заключается в кодах бронирования (PNR - Passenger Name Record), уникальных идентификаторах в базах данных, связанных с гражданскими авиаперевозками. В этих базах содержится множество сведений о каждом пассажире, в том числе, полное имя, контактная информация, время и маршрут перелетов, номер в салоне воздушного судна и информация о багаже, номера кредитных карт и так далее, вплоть до паспортных данных.

Система онлайн-бронирования авиабилетов от компании Axis Softech

Коды PNR, представляющие собой шестизначные буквенно-цифровые комбинации, используются для быстрого получения доступа ко всем этим данным.

Более чем в 90% случаев бронирование билетов на авиаперевозки (а также бронирование мест в гостиницах и т.д.) осуществляется через глобальные дистрибьюторские системы (GDS) всего трех компаний – Amadeus, Sabre и Travelport. Как утверждают эксперты Security Research Labs, в этих системах отсутствуют надлежащие системы авторизации пользователей, код PNR можно использовать для изменений, в том числе, несанкционированных, данных об авиаперелёте.

Выяснить чужой код PNR очень просто: эти идентификаторы печатаются на посадочных талонах и багажных метках. И каждый, кто сможет найти фотографию такого талона или сделать её самостоятельно, может получить доступ к личным данным пассажира через сайт авиакомпании или глобальной дистрибьюторской системы.

« Личным данным пассажиров угрожает и то, что данные идентификаторы можно подобрать посредством брутфорс-атаки. Метод формирования этих шестизначных кодов, делает их ещё слабее, чем пятизначные пароли… которые сегодня считаются слишком слабыми почти для любых приложений в Сети. Двое из трёх основных операторов GDS, назначает коды последовательно, что делает задачу их перебора ещё проще. Наконец, сайты GDS и авиакомпаний допускают перебор тысяч комбинаций с одного и того же IP-адреса. Зная только фамилии пассажиров, их коды бронирования можно найти в интернете без особы проблем, - говорится в публикации Security Research Labs.[1] »

Эксперты указывают, что из этого проистекает целый ряд угроз для безопасности пассажиров. Злоумышленники могут использовать собранные ими персональные данные для махинаций с авиарейсами (вплоть до того, чтобы летать за чужой счет), а также для проведения фишинговых атак.

Security Research Labs – не первая компания, предупреждающая о том, что PNR-коды составляют угрозу личным данным пассажиров. Об этом ещё пару лет назад предупреждала «Лаборатория Касперского», настоятельно не рекомендовавшая делать изображения своих авиабилетов всеобщим достоянием[2].

В середине этого года стало известно, что некий 32-летний житель Камеруна смог получить полный доступ к системе GDS (как раз, кстати, с помощью фишинга), и между 2011 и 2014 годами активно путешествовал по миру, не забывая перепродавать за бесценок «купленные» им билеты. Ущерб от его действий составил $2 млн. В 2014 году его арестовали во Франции и экстрадировали в США, где его сейчас и судят.[3]

Эксперты Security Research Labs говорят, что базы GDS создавались в 1970-х и 1980-х годах, их архитектура тогда была передовой, но сейчас, в интернет-эпоху, эти базы лишены даже базовой степени защищённости. В частности, многоступенчатая авторизация отсутствует по определению.

Пока весь интернет обсуждает, какие факторы авторизации использовать вторым и третьим порядком, у GDS нет даже первой ступени, указывается в публикации Security Research Labs. Эксперты считают необходимым оснастить GDS системы защитой от брутфорса и неограниченного количества попыток подбора PNR-кодов с одного и того же IP-адреса.

« Морально устаревшие системы, которые оснастили возможностью подключения к интернету при отсутствии собственных средств защиты - это довольно распространенная проблема, - отмечает Ксения Шилак, представитель компании SEC-Consult. - Особенно часто это наблюдается в промышленной сфере: старые производственные комплексы, спроектированные в доинтернетную эпоху, напрямую подключаются к интернету, и оказываются под угрозой хакерских атак просто потому, что их программные компоненты проектировались без учёта возможных киберугроз. С GDS, судя по всему, примерно та же ситуация: эти системы разрабатывались, когда никто не предполагал, что к ним настолько просто будет получить доступ. С их нынешней архитектурой само понятие privacy оказывается бессмыслицей: данные, которые следовало бы охранять как зеницу ока, в буквальном смысле лежат на самом видном месте. »

Представители Sabre заявили, что у них реализованы многочисленные меры защиты от мошенничества, но отказались рассказывать агентству Reuters какие-либо подробности. В Amadeus заявили, что внимательно ознакомились с публикацией SR Labs и предпринимают необходимые шаги для обеспечения дополнительной безопасности. В Travelport не стали комментировать публикацию. [4]

Примечания