Назад в новини
Бронювання поїздок по всьому світу здійснюється сьогодні у декількох системах. Три найбільші компанії - Global Distributed Systems (GDS) - Amadeus, Sabre і Travelport - управляють більш ніж 90% резервування авіаквитків, а також численними бронюваннями готелів, автомобілів та інших туристичних поїздок. І, на жаль, найважливіший елемент безпеки - правильний спосіб аутентифікації мандрівників, який відсутній у всіх трьох систем.
Сьогоднішні GDS є системами 1970-80-х років, побудованими на мейнфреймах і орендованих лініях. Однак, глобалізація набирає обертів, системи переплітаються з веб-сервісами, але все ще відчувається брак по-справжньому дієвих інструментів безпеки в Інтернеті.
У той час як величезна аудиторія користувачів всесвітньої мережі стурбована пошуком слабких місць в системі захисту, GDS вважає свою аутентифікацію досконалою. На їхню думку, код бронювання (він же PNR Locator, 6-значний буквенно-цифровий код, наприклад 8EI29V) зручний, виправдовує себе і використовується для доступу та зміни інформації мандрівників.
Однак, захисники сервісу не враховують той факт, що аутентифікатор друкується на посадочних талонах і багажних бирках. А це означає, що будь-яка людина, який має можливість знайти або сфотографувати проїзний документ або ярлик, може отримати доступ до інформації мандрівника, включаючи адресу електронної пошти, номер телефону і навіть домашню адресу через веб-сайт GDS або авіакомпанії.
Інформація для мандрівників також схильна до ризику злому в Інтернеті, оскільки аутентифікатор є грубими. На думку експертів, спосіб вибору шестизначних кодів бронювання робить їх навіть слабшими за п'ятизначний пароль (<28,5 біт), який вважається небезпечним для більшості додатків. Дві з трьох основних систем GDS призначають коди бронювання послідовно, що ще більше скорочує простір пошуку. Нарешті, багато веб-сайти систем резервування поїздок і авіакомпаній дозволяють перевіряти тисячі кодів з однієї IP-адреси. А, знаючи тільки прізвища пасажирів, коди їх броні можна знайти у всесвітній павутині без особливих зусиль.
За індивідуальним кодом бронювання порушник може:
1. Вторгнутись в приватне життя мандрівників. Інформація про бронювання зазвичай включає в себе номер телефону, адреса електронної пошти та поштову адресу, дати поїздки і переваги, а також дуже часто паспортні дані
2. Вкрасти політ. Більшість авіакомпаній дозволяють перельоти, деякі навіть анулюють ваучер, дозволяючи шахраєві подорожувати безкоштовно
3. Перевести милі. Змінюючи інформацію про часто літаючих пасажирів при бронюванні, шахрай може вкрасти милі, не здійснюючи жодних рейсів.
4. Проводити фішинг-атаки. Зловмисник може шантажувати туристів, запитуючи, наприклад, їх платіжну інформацію або історію поїздок.
У довгостроковій перспективі всі веб-сайти, які надають доступ до записів мандрівника, повинні мати захист від грубого вторгнення у вигляді Captchas і обмеження на повтори введення даних з однієї і тієї ж IP-адреси.
Ну а найближчим часом бронювання пасажирів повинно бути забезпечено належною перевіркою достовірності користувача, хоча б із змінним паролем.
Назад в новини
Подорожі без купюр
14.04.2017 | 15:20
Подорожі без купюр
Бронь готелю і покупка квитків онлайн загрожує витоком конфіденційної інформації
Бронювання поїздок по всьому світу здійснюється сьогодні у декількох системах. Три найбільші компанії - Global Distributed Systems (GDS) - Amadeus, Sabre і Travelport - управляють більш ніж 90% резервування авіаквитків, а також численними бронюваннями готелів, автомобілів та інших туристичних поїздок. І, на жаль, найважливіший елемент безпеки - правильний спосіб аутентифікації мандрівників, який відсутній у всіх трьох систем.
Сьогоднішні GDS є системами 1970-80-х років, побудованими на мейнфреймах і орендованих лініях. Однак, глобалізація набирає обертів, системи переплітаються з веб-сервісами, але все ще відчувається брак по-справжньому дієвих інструментів безпеки в Інтернеті.
Слабка аутентифікація
У той час як величезна аудиторія користувачів всесвітньої мережі стурбована пошуком слабких місць в системі захисту, GDS вважає свою аутентифікацію досконалою. На їхню думку, код бронювання (він же PNR Locator, 6-значний буквенно-цифровий код, наприклад 8EI29V) зручний, виправдовує себе і використовується для доступу та зміни інформації мандрівників.
Однак, захисники сервісу не враховують той факт, що аутентифікатор друкується на посадочних талонах і багажних бирках. А це означає, що будь-яка людина, який має можливість знайти або сфотографувати проїзний документ або ярлик, може отримати доступ до інформації мандрівника, включаючи адресу електронної пошти, номер телефону і навіть домашню адресу через веб-сайт GDS або авіакомпанії.
Слабкі веб-сервіси
Інформація для мандрівників також схильна до ризику злому в Інтернеті, оскільки аутентифікатор є грубими. На думку експертів, спосіб вибору шестизначних кодів бронювання робить їх навіть слабшими за п'ятизначний пароль (<28,5 біт), який вважається небезпечним для більшості додатків. Дві з трьох основних систем GDS призначають коди бронювання послідовно, що ще більше скорочує простір пошуку. Нарешті, багато веб-сайти систем резервування поїздок і авіакомпаній дозволяють перевіряти тисячі кодів з однієї IP-адреси. А, знаючи тільки прізвища пасажирів, коди їх броні можна знайти у всесвітній павутині без особливих зусиль.
Потенційні можливості зловживання
За індивідуальним кодом бронювання порушник може:
1. Вторгнутись в приватне життя мандрівників. Інформація про бронювання зазвичай включає в себе номер телефону, адреса електронної пошти та поштову адресу, дати поїздки і переваги, а також дуже часто паспортні дані
2. Вкрасти політ. Більшість авіакомпаній дозволяють перельоти, деякі навіть анулюють ваучер, дозволяючи шахраєві подорожувати безкоштовно
3. Перевести милі. Змінюючи інформацію про часто літаючих пасажирів при бронюванні, шахрай може вкрасти милі, не здійснюючи жодних рейсів.
4. Проводити фішинг-атаки. Зловмисник може шантажувати туристів, запитуючи, наприклад, їх платіжну інформацію або історію поїздок.
Шляхи вирішення
У довгостроковій перспективі всі веб-сайти, які надають доступ до записів мандрівника, повинні мати захист від грубого вторгнення у вигляді Captchas і обмеження на повтори введення даних з однієї і тієї ж IP-адреси.
Ну а найближчим часом бронювання пасажирів повинно бути забезпечено належною перевіркою достовірності користувача, хоча б із змінним паролем.