Flugbuchungen: Manipulationen der Systeme sind erschreckend einfach

Flugzeug, Flughafen, Lufthansa Bildquelle: Lufthansa
Heute beginnt in Hamburg der Chaos Communication Congress (33C3), die jährliche Konferenz des Chaos Computer Clubs. Ein Thema des ersten Tages wird es sein, wie leicht sich Flugbuchungssysteme manipulieren lassen. Demnach soll es "unglaublich" simpel sein, die Daten der bereits mehrere Jahrzehnte alten Computerlösungen zu verändern.
Auf dem 33C3 werden die beiden Sicherheitsforscher Karsten Nohl und Nemanja Nikodijevic heute einen sicherlich vielbeachteten Vortrag halten, dieser wird zweifellos bei allen Fluggesellschaften und Reiseveranstaltern, aber auch den Kunden für Aufsehen sorgen. Denn die beiden haben herausgefunden, dass sich die unter Global Distribution Systems (GDS) zusammengefassten Flugbuchungs-Back-End-Systeme mit erschreckender Leichtigkeit austricksen lassen, wie Motherboard vorab berichtet.

Code und Name

Die Daten, die in den GDS abgelegt sind, arbeiten mit einem sechsstelligen Code, dieser ordnet den Passagier einem bestimmten Flug zu. Das Problem dabei ist: Viel mehr als diese beiden Informationen muss der Angreifer nicht kennen, um eine Reise umzubuchen oder zu canceln. Grund dafür ist, dass die Reisegesellschaften mit veralteten und ungesicherten Buchungssystemen arbeiten.

Details werden Nohl und Nikodijevic heute liefern, im Mittelpunkt steht aber der Umstand, dass es keinerlei sinnvolle Authentifizierung für Passagiere gibt, die ihre Fluginformationen abrufen. Denn theoretisch ist es für einen Bot oder ein Script sehr einfach, durch Ausprobieren Codes einem bestimmten Namen zuzuordnen.

Das liegt auch daran, dass die Buchungssysteme zumeist keine Beschränkungen in Bezug auf die Anzahl der möglichen Abfragen haben. Das bedeutet, dass keine Alarmglocken läuten bzw. Zugriffsbeschränkungen erfolgen, wenn massenweise automatisierte Abfragen durchgeführt werden.

Vorhersehbarkeit

Dazu kommt, dass die Codes nicht einmal auf den maximal möglichen Zeichensatz zugreifen: Denn um Verwirrung zu vermeiden, werden die Buchstaben I und O nicht verwendet (um Verwechslungen mit 1 und 0 auszuschließen). Außerdem arbeiten die Codes nach bestimmten Regeln und steigen sequenziell an. Das bedeutet, dass ein Hacker recht gut vorhersagen kann, welche Zahlenfolge an einem bestimmten Tag sowie einer bestimmten Zeit kommen könnte.

Gemeinsam mit der Tagesschau der ARD haben die Sicherheitsforscher die gefundene Lücke auch schon demonstriert, sie konnten den Flug eines Reporters ändern, sodass dieser nachträglich neben dem (eingeweihten) deutschen CDU-Politiker Thomas Jarzombek einen Platz bekam. Flugzeug, Flughafen, Lufthansa Flugzeug, Flughafen, Lufthansa Lufthansa
Diese Nachricht empfehlen
Kommentieren1
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 10:50 Uhr Neewer Stereo Mixer 8 Kanäle Kompact DSP Effekte Mini Mixing Konsole mit USB 3 Band LED Eben Indikator für Computer Mikrofon und andere Musikinstrumente (NW-08)Neewer Stereo Mixer 8 Kanäle Kompact DSP Effekte Mini Mixing Konsole mit USB 3 Band LED Eben Indikator für Computer Mikrofon und andere Musikinstrumente (NW-08)
Original Amazon-Preis
159,99
Im Preisvergleich ab
159,99
Blitzangebot-Preis
135,99
Ersparnis zu Amazon 15% oder 24
Im WinFuture Preisvergleich

Video-Empfehlungen

Tipp einsenden