Авиапассажиры помогают хакерам
Компания SR Labs рассказала о проблемах с уязвимостью систем бронирования и регистрации авиабилетов
Германская компания SR Labs опубликовала результаты своего исследования, посвященного уязвимостям систем бронирования и удаленной регистрации авиабилетов. По мнению экспертов, авиакомпании и авиапассажиры буквально передают хакерам информацию.
Исследование компании SR Labs о деятельности хакеров в отношении авиапассажиров было представлено на одном из хакерских конгрессов в Гамбурге. Тем не менее, по словам авторов доклада, для получения важной персональной информации об авиапассажирах достаточно проникнуть в одну из трех крупнейших глобальных систем бронирования — Travelport, Sabre или Amadeus, на долю которых приходится 90% всех бронирований авиабилетов и которые кроме всего прочего содержат массу полезной для хакеров информации о бронировании гостиниц, автомобилей и так далее.
По словам исследователей, главная слабость этих программ заключается в том, что для идентификации пассажира необходимо знать всего две вещи — фамилию пассажира и шестизначный номер PNR (запись регистрации пассажира), обычно используемый при онлайн-бронировании и получении билета. При этом и имя, и PNR, считающиеся вроде бы конфиденциальной информацией, можно с легкостью обнаружить где угодно.
«Если PNR, как предполагается, является защищенным паролем, то и относиться к нему надо соответственно,— цитирует британская The Guardian одного из авторов исследования, Карстена Ноля.— Но никто не держит его в тайне. Он напечатан на каждом чемодане, до недавнего времени его печатали на посадочном талоне и только недавно заменили на баркод». Впрочем, чтобы считать баркод, достаточно воспользоваться одним из десятков или даже сотен платных и бесплатных приложений. «Предполагается, что это единственный способ идентификации пассажира. И его печатают на куске бумаги, который будет выброшен в конце путешествия»,— говорит господин Ноль.
Впрочем, работу злоумышленникам облегчают сами авиапассажиры. Преступнику нет никакой необходимости бегать по аэропорту в поисках выброшенных посадочных талонов. Достаточно зайти в социальную сеть, к примеру в Instagram, набрать популярный среди пользователей хештег #boardingpass и сканировать баркоды.
Наконец, утверждают специалисты германской компании, сами системы бронирования генерируют PNR таким образом, что их очень легко вычислить. Некоторые из них выбирают первые две цифры последовательными, и это значит, что все PNR, выпущенные за день, будут иметь одинаковые первые цифры. А если добавить к этому то, что значительное количество порталов для входа в системы бронирования имеет минимальный уровень защиты, то понятно, что работа хакеров еще больше упрощается. Немецкие эксперты, в частности, говорят о том, что многие системы с минимальным уровнем защиты позволяют пользователю отслеживать свой статус именно по фамилии и PNR.
Самое невинное, что могут сделать хакеры, обладая PNR,— это мошенничество в программах лояльности авиакомпаний. Куда серьезнее то, что при бронировании билетов пассажир предоставляет довольно много персональной информации, которую можно продать или использовать в преступных целях.
Как отмечают авторы доклада, система нуждается в изменениях, однако пока у авиакомпаний нет стимулов к этому. «Авиакомпании порой замечают (активность киберпреступников.— “Ъ”), но только в том случае, когда она становится чрезмерной. Я надеюсь на то, что она станет настолько чрезмерной, что ее нельзя будет более игнорировать»,— говорит господин Ноль.