Vliegtuigpassagiers nauwelijks beschermd door boekingscode
Een boekingscode en een familienaam. Wie al eens online heeft proberen inchecken voor een vlucht, weet dat dat de enige informatie is die je nodig hebt om die klus te klaren. Die identificatiemethode van vliegtuigpassagiers, die al in de jaren 70 zijn oorsprong vond, laat heel wat te wensen over op vlak van beveiliging. Dat bracht het Duitse Security Research Labs deze week aan het licht.
Er zijn vandaag drie grote Global Distributed Systems (GDS) voor het beheer van reisboekingen: Amadeus, Sabre en Travelport. Samen staan ze in voor het behandelen van meer dan 90 procent van alle vliegtuigreservarties. Daarnaast beheren ze ook hotel-, auto- en andere reisreservaties. Alle drie doen ze beroep op het systeem van Passenger Name Records (PNR) voor het bewaren van alle relevante reisinformatie van een passagier. De PNR worden aangeduid door een record locator bestaande uit een combinatie van zes letters en cijfers. Die pincode van zes tekens wordt meegedeeld aan de reiziger op de reisbevestiging en vaak ook afgedrukt op het vliegtuigticket; het is de alom bekende boekingscode.
Dat systeem is volgens Security Research Labs zo lek als een zeef en ontoereikend om een passagier correct te identificeren. “Terwijl de rest van het internet debatteert welke tweede en derde factor moet worden gebruikt, bieden de GDS’en niet eens een eerste authenticatiefactor,” leggen de researchers uit. “De authenticatiecode wordt geprint op vliegtuigtickets en bagagelabels. Elke persoon die zo’n ticket of label vindt, of er een foto van kan nemen, kan zichzelf toegang verschaffen tot de informatie van de reiziger via de website van de GDS of luchtvaartmaatschappij.”
Bovendien kunnen de boekingscodes ook via brute-force door een hacker worden achterhaald. “De manier waarop de codes van zes tekens worden gekozen, maken ze onveiliger dan een wachtwoord van vijf tekens,” klinkt het bij Security Research Labs. Twee van de drie GDS’en wijzen hun boekingscodes bovendien sequentieel toe, waardoor ze nog eenvoudiger te raden zijn. Brute-force-aanvallen kunnen makkelijk in de kiem worden gesmoord door maar een handvol foutieve pogingen toe te laten alvorens een IP-adres wordt geblokkeerd. Op veel websites ontbreekt evenwel zo’n beperking.
Potentiële schade
Gewapend met alleen de familienaam van een passagier, zijn de onderzoekers er binnen enkele uren in geslaagd om de bijhorende boekingscodes te achterhalen. Met die informatie kan een aanvaller zich toegang verschaffen tot de reisbevestiging en allerhande persoonlijke gegevens zoals telefoonnummer, e-mailadres, postadres, reisdata en paspoortgegevens.
Verschillende luchtvaartmaatschappijen laten bovendien toe om met deze informatie online aanpassingen aan de boeking uit te voeren. Een fraudeur kan zo bijvoorbeeld jouw vlucht annuleren of de frequent flyer gegevens aanpassen om gratis miles te scoren op jouw kosten. Ten slotte kan de indringer de informatie ook gebruiken voor social engineering of phishing, om zo toegang te krijgen tot je betaalinformatie of andere gegevens.
Bescherming
Security Research Labs adviseert alle websites die toegang geven tot reisinformatie om degelijke bescherming in te bouwen tegen brute-force-aanvallen in de vorm van Captchas of een beperkt aantal foutieve aanmeldpogingen per IP-adres. Op langere termijn hoopt het evenwel dat de GDS’en een betere authenticatie zullen inbouwen om passagiergegevens te beschermen, bijvoorbeeld met een wachtwoord dat de reiziger zelf kan aanpassen.
Op een vraag naar reactie bij de drie Global Distributed Systems, kreeg Reuters eerder ontwijkende antwoorden. “We zullen deze bevindingen in acht nemen en werken samen met onze partners om oplossingen te vinden voor potentiële problemen,” zegt een woordvoerder van Amadeus. “We hanteren verschillende lagen van beveiliging. We vertellen niet hoe we de beveiliging en privacy van onze reizigers beschermen, omdat het de bescherming van onze systemen zou ondermijnen,” klinkt het bij Sabre. Travelport weigerde ten slotte om te reageren tegenover Reuters.
