Fly4free.pl

Z twojego biletu lotniczego można wyciągnąć wszystkie dane. I narobić problemów

Foto: Africa Studio / Shutterstock

Największe systemy dystrybucji biletów nie mają odpowiednich zabezpieczeń, przez co bez większych problemów można wyciągnąć dane pasażera, korzystając z informacji na jego karcie pokładowej. A to może doprowadzić do prawdziwego chaosu.

O problemie napisał m.in. Niebezpiecznik  powołując się na agencję Reuters. Dotyczy on tzw. globalnych systemów dystrybucji, czyli systemów rezerwacyjnych, na których pracują linie lotnicze.

Polega on na tym, że jedynym zabezpieczeniem naszych danych jest specjalny kod rezerwacji. Musimy go wpisać na stronie przewoźnika, by sprawdzić szczegóły naszej rezerwacji, jest on też zakodowany na naszej karcie pokładowej. W systemie przewoźnika znajdują się wszystkie informacje o nas: dane kontaktowe, rodzaj biletu, miejsca, informacje o bagaże, a nawet historia lotów.

Taki kod można bez problemu pozyskać, choćby robiąc zdjęcie naszej karty pokładowej lub plakietki bagażowej. Sami zresztą dajemy dostęp do tych danych, umieszczając np. zdjęcia karty pokładowej na Instagramie. A to prosta droga do tego, by obca osoba mogła zaglądać do naszej rezerwacji i widzieć nasze wszystkie dane. A mając dostęp do naszych danych taka osoba może zrobić z nimi wszystko – anulować nasz lot, zmienić jego datę, imię i nazwisko pasażera czy numer paszportu.

Problemem, który w specjalnym raporcie przedstawiła niemiecka firma badawcza Security Research Labs jest to, że żaden z trzech globalnych systemów dystrybucji biletów, a więc GDS, Amadeus i Sabre, nie ma nawet jednostopniowego procesu uwierzytelnienia i autoryzacji, dzięki czemu dostęp do naszych danych byłby utrudniony.

Jak czytamy w Niebezpieczniku, serwisy dające dostęp do GDS-ów, w tym serwisy linii lotniczych, umożliwiają wpisywanie tysięcy kodów z jednego adresu IP. Oznacza to możliwość pozyskiwania danych pasażerów o popularnych nazwiskach metodą brute force, czyli sukcesywne sprawdzanie wszystkich możliwych kombinacji. Jest to tym łatwiejsze, że niektóre GDS-y nadają numery rezerwacji kolejno i dodatkowo ich nie szyfrują.

Spośród największych GDS-ów tylko Amadeus przyznał, że przyjrzy się ustaleniom SR Labs. Z kolei Sabre uważa zarzuty za absurdalne, a Travelport nie chce komentować sprawy.

Komentarze

na konto Fly4free.pl, aby dodać komentarz.
O kur#a!
Zszokowany, 3 stycznia 2017, 17:15 | odpowiedz
Dlatego ja zawsze kupuje na lotnisku! Tak jest najbezpieczniej!
ojtamojtam, 3 stycznia 2017, 17:19 | odpowiedz
ojtamojtam Dlatego ja zawsze kupuje na lotnisku! Tak jest najbezpieczniej!
Przeczytaj najpierw newsa, który napisał Niebezpiecznik. To ze kupisz bilet na lotnisku może niewiele zmienić. Ktoś podejrzy dane na Twoim bilecie i to już wystarczy
Gucii, 3 stycznia 2017, 17:28 | odpowiedz
Gucii
ojtamojtam Dlatego ja zawsze kupuje na lotnisku! Tak jest najbezpieczniej!
Przeczytaj najpierw newsa, który napisał Niebezpiecznik. To ze kupisz bilet na lotnisku może niewiele zmienić. Ktoś podejrzy dane na Twoim bilecie i to już wystarczy
Nie zauważyłbyś sarkazmu nawet jakby Cię kopnął? :D Co do problemu - to tak jak z 'hiper niebezpiecznymi kartami kredytowymi tylko z paskiem' (na przykład w USA) - wszystko mówi, że to powinno nie działać i generować masę fraudów a jednak... działa - po prostu ludzie w tym zakresie są względnie uczciwi i nie wychodzą za bardzo poza założenia; w przypadku rezerwacji biletu - nie ma dostępu do absolutnie wszystkich danych (imię + nazwisko + paszport bodajże) a do tego to, że zmieni się chociażby dane to co to da? kontrola na lotniskach jest spora wiec jak pojawią się dwie osoby to łatwo będzie dojść kto oryginalnie kupował i zapłacił za bilet więc szanse wykorzystania tej 'luki' są raczej znikome... A teraz wyobraźmy sobie, że chcemy dotrzeć do naszej rezerwacji i zamiast numeru rezerwacji + nazwiska trzeba by to potwierdzać dodatkowymi kodami...
.w, 3 stycznia 2017, 17:45 | odpowiedz
wolę chyba ryzyko wykorzystania danych do anulowania mi lotu przez nie wiem kogo niż jak sama go sobie anuluję przez zapomnienie superkodu dostępu... ta mnogość pinów, haseł i kodów trochę mnie zaczyna przerażać - płaciłam już kartą wpisując zamiast pinu kod do otwarcia biura, w którym pracuję, rozkodowwywałam biuro pinem do karty i "płaciłam" dowodem osobistym zamiast kartą :P co będzie dalej ;)
ara, 3 stycznia 2017, 18:18 | odpowiedz
Tutaj jedna istotna informacja jest pominięta....wiele osób robi zdjęcia na lotnisku swojej karty pokładowej i wrzuca na instagrama / facebooka / snapchata i Bóg jeden raczy wiedzieć gdzie jeszcze. Wystarczy informacji żeby komuś złośliwie anulować bilet. Przyznaję że ja raz na podstawie takich informacji zamówiłem koledze obsługę dla niepełnosprawnych - był bardzo zaskoczony po wylądowaniu :)
Tomek, 3 stycznia 2017, 22:48 | odpowiedz
Oj tam, nic to w porównaniu z "dokonaniami" strony LOT. Człowiek wchodzi, a tam na jego koncie wykaz rezerwacji innych osób. Albo pisze o odszkodowanie, a przychodzi mu odpowiedź dla innej osoby - i to pozytywna!
podróżnik, 4 stycznia 2017, 9:10 | odpowiedz

porównaj loty, hotele, lot+hotel
Nowa oferta: . Czytaj teraz »