2016/12/29 08:05:14

Системы бронирования авиабилетов

.


Крупнейшие системы онлайн-бронирования авиабилетов предлагают следующие компании:

2016: В системах онлайн-бронирования авиабилетов не нашли базовых средств защиты данных

Крупнейшие системы онлайн-бронирования авиабилетов чрезвычайно уязвимы к хакерским атакам и с большой лёгкостью могут быть использованы для несанкционированного получения персональных данных пассажиров, утверждают эксперты немецкой компании Security Research Labs.

Проблема, по словам экспертов, заключается в кодах бронирования (PNR - Passenger Name Record), уникальных идентификаторах в базах данных, связанных с гражданскими авиаперевозками. В этих базах содержится множество сведений о каждом пассажире, в том числе, полное имя, контактная информация, время и маршрут перелетов, номер в салоне воздушного судна и информация о багаже, номера кредитных карт и так далее, вплоть до паспортных данных.

Система онлайн-бронирования авиабилетов от компании Axis Softech

Коды PNR, представляющие собой шестизначные буквенно-цифровые комбинации, используются для быстрого получения доступа ко всем этим данным.

Более чем в 90% случаев бронирование билетов на авиаперевозки (а также бронирование мест в гостиницах и т.д.) осуществляется через глобальные дистрибьюторские системы (GDS) всего трех компаний – Amadeus, Sabre и Travelport. Как утверждают эксперты Security Research Labs, в этих системах отсутствуют надлежащие системы авторизации пользователей, код PNR можно использовать для изменений, в том числе, несанкционированных, данных об авиаперелёте.

Выяснить чужой код PNR очень просто: эти идентификаторы печатаются на посадочных талонах и багажных метках. И каждый, кто сможет найти фотографию такого талона или сделать её самостоятельно, может получить доступ к личным данным пассажира через сайт авиакомпании или глобальной дистрибьюторской системы.

« Личным данным пассажиров угрожает и то, что данные идентификаторы можно подобрать посредством брутфорс-атаки. Метод формирования этих шестизначных кодов, делает их ещё слабее, чем пятизначные пароли… которые сегодня считаются слишком слабыми почти для любых приложений в Сети. Двое из трёх основных операторов GDS, назначает коды последовательно, что делает задачу их перебора ещё проще. Наконец, сайты GDS и авиакомпаний допускают перебор тысяч комбинаций с одного и того же IP-адреса. Зная только фамилии пассажиров, их коды бронирования можно найти в интернете без особы проблем, - говорится в публикации Security Research Labs.[1] »

Эксперты указывают, что из этого проистекает целый ряд угроз для безопасности пассажиров. Злоумышленники могут использовать собранные ими персональные данные для махинаций с авиарейсами (вплоть до того, чтобы летать за чужой счет), а также для проведения фишинговых атак.

Security Research Labs – не первая компания, предупреждающая о том, что PNR-коды составляют угрозу личным данным пассажиров. Об этом ещё пару лет назад предупреждала «Лаборатория Касперского», настоятельно не рекомендовавшая делать изображения своих авиабилетов всеобщим достоянием[2].

В середине этого года стало известно, что некий 32-летний житель Камеруна смог получить полный доступ к системе GDS (как раз, кстати, с помощью фишинга), и между 2011 и 2014 годами активно путешествовал по миру, не забывая перепродавать за бесценок «купленные» им билеты. Ущерб от его действий составил $2 млн. В 2014 году его арестовали во Франции и экстрадировали в США, где его сейчас и судят.[3]

Эксперты Security Research Labs говорят, что базы GDS создавались в 1970-х и 1980-х годах, их архитектура тогда была передовой, но сейчас, в интернет-эпоху, эти базы лишены даже базовой степени защищённости. В частности, многоступенчатая авторизация отсутствует по определению.

Пока весь интернет обсуждает, какие факторы авторизации использовать вторым и третьим порядком, у GDS нет даже первой ступени, указывается в публикации Security Research Labs. Эксперты считают необходимым оснастить GDS системы защитой от брутфорса и неограниченного количества попыток подбора PNR-кодов с одного и того же IP-адреса.

« Морально устаревшие системы, которые оснастили возможностью подключения к интернету при отсутствии собственных средств защиты - это довольно распространенная проблема, - отмечает Ксения Шилак, представитель компании SEC-Consult. - Особенно часто это наблюдается в промышленной сфере: старые производственные комплексы, спроектированные в доинтернетную эпоху, напрямую подключаются к интернету, и оказываются под угрозой хакерских атак просто потому, что их программные компоненты проектировались без учёта возможных киберугроз. С GDS, судя по всему, примерно та же ситуация: эти системы разрабатывались, когда никто не предполагал, что к ним настолько просто будет получить доступ. С их нынешней архитектурой само понятие privacy оказывается бессмыслицей: данные, которые следовало бы охранять как зеницу ока, в буквальном смысле лежат на самом видном месте. »

Представители Sabre заявили, что у них реализованы многочисленные меры защиты от мошенничества, но отказались рассказывать агентству Reuters какие-либо подробности. В Amadeus заявили, что внимательно ознакомились с публикацией SR Labs и предпринимают необходимые шаги для обеспечения дополнительной безопасности. В Travelport не стали комментировать публикацию. [4]

Примечания