SIKKERHET

Du kan bli din egen «reiseagent» og stjele flyreiser

Kjendishacker avdekker sårbart bookingsystem.

Et fly fra Norwegian går inn for landing på Gardermoen flyplass. Illustrasjonsfoto.
Et fly fra Norwegian går inn for landing på Gardermoen flyplass. Illustrasjonsfoto. Bilde: Scanpix
27. des. 2016 - 12:53

Når du bestiller en flybillett får du typisk tildelt en sekssifret kode. Du finner den i reisedokumentene dine.

Det kalles gjerne for reservasjonsnummer, bookingreferanse, bekreftelseskode eller tilsvarende, avhengig av reisebyrå eller selskap.

Ved å taste inn denne og etternavn kan billetten endres. Bekvemmelig nok, men det trenger ikke å være deg som endrer reservasjonen, bytter seteplass eller kansellerer turen.  

Hacker til seg flybilletter

Uvedkommende kan nokså enkelt stjele billetten eller fiske ut personopplysninger.

Det er kjernen i et foredrag den anerkjente kryptologen Karsten Nohl og kollega Nemanja Nikodijevic, begge fra Security Research Labs, skal holde på hackerkonferansen Chaos Communication Congress i Hamburg i kveld.

Nohl er berømt for sine tidligere avsløringer av svakheter i mobilnettene. Denne gang er blikket rettet mot reiseoperatørenes fellessystem Global Distribution System (GDS).

Karsten Nohl har tidligere avslørt sikkerhetshull i mobilnett. Her avbildet under et foredrag han holdt i Oslo for et par år siden. <i>Foto: Marius Jørgenrud</i>
Karsten Nohl har tidligere avslørt sikkerhetshull i mobilnett. Her avbildet under et foredrag han holdt i Oslo for et par år siden. Foto: Marius Jørgenrud

Langt på vei de fleste reisebestillinger går via en håndfull eldre systemer. Mer enn 90 prosent av verdens flyreservasjoner går gjennom de tre største aktørene Amadeus, Sabre og Travelport. Disse håndterer også bilutleie og en rekke hotellbestillinger.

Dagens GDS-systemer ble utviklet på 1970- og 80-tallet. Det er transaksjonsbaserte systemer basert på stormaskin. Senere er systemene gjort allment tilgjengelig i form av webtjenester, men uten den sikkerheten man bør kunne forvente, heter det i forhåndsomtalen.

Brute force

Den sekssifrede koden skal være svakere enn et 5-sifret passord. Årsaken er at 1 og 0 skal være utelatt for å unngå forvirring med I og O, altså av hensyn til brukervennlighet. Det anvendes dessuten bare store bokstaver og ingen spesialtegn. To av de tre største GDS-tilbyderne skal dessuten tildele kodene sine sekvensielt.

Sikkerheten svekkes ytterligere ved at mange GDS-systemer og flyselskapers nettløsninger ikke har sperre mot såkalte brute force-angrep. Med mulighet for ubegrensede oppslag fra samme IP-adresse skal det være en enkel sak å finne koden.

Skal angrepet lykkes må man i praksis ha etternavnet til billettholderen, samt tidspunktet for reisen. Koden kan hackes fram på to minutter, noe Karsten Nohl demonstrerte for den tyske TV-kanalen ARD i romjulen.

Foruten å overta billetten til en reporter lyktes de også å plassere Nohl på setet ved siden av en tysk politiker på samme flight.

Alt som skulle til for å spore opp politikeren var et par millioner oppslag på etternavnet hans, sier Nohl i en kommentar til nettstedet Motherboard.

Detaljer om sikkerhetsforskerenes funn blir presentert i kveld på Chaos Communication Congress. Innlegget kan følges live fra klokken 21.45.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.