Назад в новости
Бронирование поездок по всему миру осуществляется сегодня в нескольких системах. Три крупнейшие компании - Global Distributed Systems (GDS) - Amadeus, Sabre и Travelport - управляют более чем 90% резервирования авиабилетов, а также многочисленными бронированием гостиниц, автомобилей и других туристических поездок. И, к сожалению, самый важный элемент безопасности - правильный способ аутентификации путешественников - отсутствует у всех трех систем.
Сегодняшние GDS представляют собой системы 1970 - 80х годов, построенные на мэйнфреймах и арендованных линиях. Однако, глобализация набирает обороты, системы переплетаются с веб-сервисами, но все еще ощущается нехватка по-настоящему действенных инструментов безопасности в Интернете.
Слабая аутентификация
В то время как огромная аудитория пользователей всемирной сети озабочена поиском слабых мест в системе защиты, GDS считает свою аутентификацию совершенной. По их мнению, код бронирования (он же PNR Locator, 6-значный буквенно-цифровой код, например 8EI29V) удобен, оправдывает себя и используется для доступа и изменения информации путешественников.
Однако, защитники сервиса упускают тот факт, что аутентификатор печатается на посадочных талонах и багажных бирках. А это значит, что любой человек, который имеет возможность найти или сфотографировать проездной документ или ярлык, может получить доступ к информации путешественника, включая адрес электронной почты, номер телефона и даже домашний адрес через веб-сайт GDS или авиакомпании.
Слабые веб-сервисы
Информация для путешественников также подвержена риску взлома в Интернете, поскольку аутентификаторы являются грубыми. По мнению экспертов, способ выбора шестизначных кодов бронирования делает их даже более слабыми, чем пятизначный пароль (<28,5 бит), который считается небезопасным для большинства приложений. Две из трех основных систем GDS назначают коды бронирования последовательно, что еще больше сокращает пространство поиска. Наконец, многие веб-сайты систем резервирования поездок и авиакомпаний позволяют проверять тысячи кодов с одного IP-адреса. А, зная только фамилии пассажиров, коды их брони можно найти во всемирной паутине без особых усилий.
Потенциальные возможности злоупотребления
По индивидуальному коду бронированию, нарушитель может:
1. Вторгнуться в частную жизнь путешественников. Информация о бронировании обычно включает в себя номер телефона, адрес электронной почты и почтовый адрес, даты поездки и предпочтения, а также очень часто паспортные данные
2. Украсть полёт. Большинство авиакомпаний разрешают перелеты, некоторые даже аннулируют ваучер, позволяя мошеннику путешествовать бесплатно
3. Переадресация миль. Изменяя информацию о часто летающих пассажирах при бронировании, мошенник может украсть мили, не совершая никаких рейсов
4. Проводить фишинг-атаки. Злоумышленник может шантажировать туристов, запрашивая, например, их платежную информацию или историю поездок.
Пути решения
В долгосрочной перспективе все веб-сайты, которые разрешают доступ к записям путешественника, должны иметь защиту от грубого вторженияы в виде Captchas и ограничения на повторы ввода данных с одного и того же IP-адреса.
Ну а в ближайшее время бронирование пассажиров должно быть обеспечено надлежащей проверкой подлинности пользователя, по крайней мере, с изменяемым паролем.
Назад в новости
Путешествия без купюр
14.04.2017 | 14:55
Путешествия без купюр
Бронь отеля и покупка билетов онлайн грозит утечкой конфиденциальной информацииБронирование поездок по всему миру осуществляется сегодня в нескольких системах. Три крупнейшие компании - Global Distributed Systems (GDS) - Amadeus, Sabre и Travelport - управляют более чем 90% резервирования авиабилетов, а также многочисленными бронированием гостиниц, автомобилей и других туристических поездок. И, к сожалению, самый важный элемент безопасности - правильный способ аутентификации путешественников - отсутствует у всех трех систем.
Сегодняшние GDS представляют собой системы 1970 - 80х годов, построенные на мэйнфреймах и арендованных линиях. Однако, глобализация набирает обороты, системы переплетаются с веб-сервисами, но все еще ощущается нехватка по-настоящему действенных инструментов безопасности в Интернете.
Слабая аутентификация
В то время как огромная аудитория пользователей всемирной сети озабочена поиском слабых мест в системе защиты, GDS считает свою аутентификацию совершенной. По их мнению, код бронирования (он же PNR Locator, 6-значный буквенно-цифровой код, например 8EI29V) удобен, оправдывает себя и используется для доступа и изменения информации путешественников.
Однако, защитники сервиса упускают тот факт, что аутентификатор печатается на посадочных талонах и багажных бирках. А это значит, что любой человек, который имеет возможность найти или сфотографировать проездной документ или ярлык, может получить доступ к информации путешественника, включая адрес электронной почты, номер телефона и даже домашний адрес через веб-сайт GDS или авиакомпании.
Слабые веб-сервисы
Информация для путешественников также подвержена риску взлома в Интернете, поскольку аутентификаторы являются грубыми. По мнению экспертов, способ выбора шестизначных кодов бронирования делает их даже более слабыми, чем пятизначный пароль (<28,5 бит), который считается небезопасным для большинства приложений. Две из трех основных систем GDS назначают коды бронирования последовательно, что еще больше сокращает пространство поиска. Наконец, многие веб-сайты систем резервирования поездок и авиакомпаний позволяют проверять тысячи кодов с одного IP-адреса. А, зная только фамилии пассажиров, коды их брони можно найти во всемирной паутине без особых усилий.
Потенциальные возможности злоупотребления
По индивидуальному коду бронированию, нарушитель может:
1. Вторгнуться в частную жизнь путешественников. Информация о бронировании обычно включает в себя номер телефона, адрес электронной почты и почтовый адрес, даты поездки и предпочтения, а также очень часто паспортные данные
2. Украсть полёт. Большинство авиакомпаний разрешают перелеты, некоторые даже аннулируют ваучер, позволяя мошеннику путешествовать бесплатно
3. Переадресация миль. Изменяя информацию о часто летающих пассажирах при бронировании, мошенник может украсть мили, не совершая никаких рейсов
4. Проводить фишинг-атаки. Злоумышленник может шантажировать туристов, запрашивая, например, их платежную информацию или историю поездок.
Пути решения
В долгосрочной перспективе все веб-сайты, которые разрешают доступ к записям путешественника, должны иметь защиту от грубого вторженияы в виде Captchas и ограничения на повторы ввода данных с одного и того же IP-адреса.
Ну а в ближайшее время бронирование пассажиров должно быть обеспечено надлежащей проверкой подлинности пользователя, по крайней мере, с изменяемым паролем.