Ludzie umieszczają w internecie zdjęcia swoich biletów i nie widzą w tym problemu. W samym Instagramie znajdują się tysiące zdjęć biletów koncertowych, samolotowych, a nawet loteryjnych.
Jeśli każdy tak robi, dlaczego mnie nie wolno?
Dlaczego nie warto publikować w Sieci zdjęć przedstawiających bilety? Dlatego, że ten kawałek papieru zawiera dane, dzięki którym każdy może ten bilet ukraść (nie przesadzam!), przywłaszczyć sobie Twoje mile, a nawet zrobić Ci jakiegoś brzydkiego psikusa. Ponad rok temu zastanawialiśmy się, co mogą zrobić złoczyńcy, gdy w ich ręce wpadną informacje umieszczone na biletach. Niedawno badacze zajmujący się bezpieczeństwem Karsten Nohl i Nemanja Nikodjewicz wrócili do tego tematu podczas wydarzenia Chaos Communication Congress (33С3).
Linie lotnicze, pośrednicy biur podróży, strony umożliwiające porównanie cen, a także wiele innych serwisów współpracuje, aby umożliwić pasażerom łatwe zarezerwowanie biletów. W branży tej używa się systemu Global Distribution Systems (GDS), aby sprawdzić dostępność lotu, wyeliminować ryzyko zdublowania rezerwacji na dane miejsce itp. Systemy GDS są ściśle powiązane z usługami internetowymi, które jednak nie korzystają z najlepszych praktyk internetowych. To dlatego dzisiejsza technologia GDS jest przestarzała, jeśli chodzi o zabezpieczenia, i zapewnia przestępcom ogromne pole manewru do ataku.
Chociaż obecnie istnieje około 20 dostawców GDS, duet zajmujący się bezpieczeństwem Nohl i Nikodjewicz skupił się na trzech największych systemach: Sabre (założonym w 1960), Amadeus (założonym w 1987) i Galileo (obecnie jest on częścią systemu Travelport). Systemy te zarządzają ponad 90% rezerwacji lotów, hoteli, samochodów itp.
Na przykład Lufthansa i AirBerlin pracują na systemie Amadeus, a operatorem wycieczek jest Expedia. American Airlines i rosyjska linia lotnicza Аeroflot korzystają z systemu Sabre. Tak czy inaczej, trudno jest stwierdzić na pewno, który GDS przechowuje prywatne dane danego pasażera. Na przykład jeśli zarezerwujesz bilet na lot liniami American Airlines u firmy Expedia, transakcję tę zarejestruje zarówno Amadeus, jak i Sabre.
W zależności od przepisów systemu rezerwacji, w rekordzie GDS znajduje się zazwyczaj imię i nazwisko pasażera, jego numer telefonu, data urodzenia oraz dane związane z paszportem, a także numer biletu, porty odlotu i przylotu, a także data i godzina lotu. Ponadto zawierają one informacje o płatności (np. numer katy kredytowej). Inaczej mówiąc – są one źródłem dosyć wrażliwych informacji.
Nohl i Nikodjewicz zwrócili uwagę na to, że dostęp do tych danych ma wiele osób: pracownicy linii lotniczych, operatorzy wycieczek, przedstawiciele hoteli i inni agenci. Badacze przypuszczają, że dane te mogą odczytywać również agencje rządowe. Ale to dopiero wierzchołek góry lodowej.
Aby uzyskać dostęp do tych informacji i zmienić je, systemy GDS używają jako hasła imienia i loginu oraz 6-cyfrowego kodu rezerwacji (większość podróżnych zna go jako PNR, czyli imienny rejestr pasażera). Tak, ten kod PNR wydrukowany na biletach lotniczych i etykietach bagażu jest hasłem.
„Jeśli kod PNR ma być bezpiecznym hasłem, powinien być tak traktowany” – powiedział podczas konferencji Nohl. „Lecz nikt nie robi z niego tajemnicy: jest on wydrukowany i doczepiony do każdego bagażu. Kiedyś był drukowany na kartach pokładowych, a teraz został zastąpiony kodem paskowym”. Ten z kolei i tak go zawiera.
Większość podróżujących nie rozumie wewnętrznego funkcjonowania branży lotniczej, więc chętnie publikują oni w internecie zdjęcia biletów wraz z kodem PNR, zaszyfrowanym w kodzie paskowym. Jednak kod paskowy nie jest dobrym zabezpieczeniem; można go odczytać przy użyciu specjalnego oprogramowania. Zatem każdy, kto zrobi zdjęcie etykietki Twojego bagażu na lotnisku lub znajdzie je w internecie, będzie mógł uzyskać dostęp do Twoich prywatnych danych. Nie trzeba być hakerem, aby wykorzystać luki w PNR — trzeba tylko wiedzieć, gdzie szukać. Na poniższym filmie zobaczysz, jak Nohl i Nikodjewicz odszyfrowali kod paskowy biletu lotniczego znajdującego się na zdjęciu opublikowanym w serwisie Instagram.
Co więcej, wiele linii lotniczych i stron umożliwiających rezerwowanie wycieczek nie blokuje użytkowników, którzy wielokrotnie wprowadzili zły numer kodu. W związku z tym oszuści mogą wpisywać popularne nazwiska i próbować złamać kod PNR tych pasażerów metodą siłową. Nie jest to trudne: kod składa się z sześciu cyfr, algorytm generowania kodu często posiada pewne niedociągnięcia. Na przykład część z nich powtarza pierwsze dwa znaki, a wszystkie kody PNR wygenerowane w określonym czasie rozpoczynają się tym samym znakiem. Inni dostawcy używają specjalnych kodów dla określonych linii lotniczych. Praktyki te zawężają zakres cyfr, które musi odgadnąć atakujący.
Podczas wydarzenia Chaos Communication Congress eksperci Nohl i Nikodjewicz pokazali, że złamanie kodu PNR może zająć zaledwie kilka minut. Między 30 a 45 minutą tego filmu znajduje się szczegółowe wyjaśnienie, jak to działa, a cały proces został zademonstrowany w czasie rzeczywistym.
Przestępcy mogą zatem pobrać z systemu GDS wrażliwe dane pasażerów i użyć ich do przeprowadzenia zaawansowanego phishingu. Rozważmy taki scenariusz: pan Kowalski rezerwuje lot do Berlina i 10 minut później otrzymuje wiadomość e-mail, rzekomo od swojej linii lotniczej, że musi potwierdzić informacje karty kredytowej. W liście znajduje się jego imię i nazwisko, port przylotu i inne szczegółowy rezerwacji. Czy wygląda to wiarygodnie? Tak! Pan Kowalski prawdopodobnie kliknie odnośnik umieszczony w e-mailu i poda informacje o swojej karcie kredytowej — ale na fałszywej stronie.
Ponadto korzystając z kodu PNR i po wyszukaniu innych danych osobistych hakerzy mogą zmienić dane biletu. Mogą oni anulować bilet i żądać dokonania zwrotu pieniędzy na własne konto. Mogą również zmienić imię właściciela biletu, nazwisko, a także numer paszportu, więc na wycieczkę wybierze się inna osoba (zadziwiające, lecz w niektórych serwisach jest to możliwe). Ostrożniejszy lub łaskawszy przestępca zmieni tylko dane osoby, która często podróżuje, i będzie gromadził mile, które powinny trafić do oryginalnego właściciela biletu. Wychodzi więc na to, że korzystając z kodów PNR jako haseł, systemy GDS zazwyczaj oferują hakerom darmowe loty, nielimitowane mile, a nawet pieniądze.
Jest jeszcze jeden bardzo rozczarowujący fakt: pomimo tego, że eksperci i media mówią o tym zagrożeniu od wielu lat, firmy tworzące systemy GDS wciąż odmawiają rejestrowania tego, kto miał dostęp do kodu PNR. W związku z tym większości nadużyć nie da się przeanalizować. Specjaliści nie potrafią oszacować zakresu oszustw i kradzieży danych wynikających z omawianego problemu.
Nohl i Nikodjewicz są przekonani, że nie należy spodziewać się istotnych zmian w najbliższym czasie. Cały system rezerwacji musi zostać napisany od nowa, a linie lotnicze może zmusić do tego jedynie wzrost oszustw z użyciem kodów PNR.
Na chwilę obecną zalecamy zachowanie czujności. Poza tym użytkownicy nigdy nie powinni udostępniać w internecie zdjęć swoich kart pokładowych. Warto pamiętać, że wiele informacji osobistych znajduje się nawet na starych biletach.