【猎云网(微信号:ilieyun)】1月3日报道(编译:蔡怡然)
随着互联网的快速发展,预订机票越来越简单易行,当你在网上选好航班、支付费用完成后就会感觉一身轻松,对吗?大部分情况下的确是这样——只要黑客不会阻止飞机起飞。不过现在,黑客入侵飞行系统也和订机票一样简单了。
近日,来自德国安全公司Security Research Labs的Karstein Nohl 和Nemanja Nikodejevic指出,我们现在使用的旅行预订系统十分不安全。事实上,三大处理航班预定的全球分销系统(GDS, Global Distributed Systems )都会通过不同的方式受到滥用。
这三大GDS分别是Amadeus、Sabre和Travelport,在全球范围内处理共计超过90%的机票订单。据研究人员发现,这些系统基本都建立于上世纪七八十年代,而他们的系统只是同现代网络科技做了简单的结合,并没有完全替换。这也就意味着,这些系统的鉴别机制非常的落后和脆弱。
用户通过六位数的密码登录GDS系统,而这六个数字也是预定代码(也就是常说的PNR编码)。旅客ID一般会直接打印在登机牌和行李标签上。也就是说,任何靠近你行李或者看到你登机牌的人都能够轻易看到并用手机拍下你的编码。通过这个编码可以访问旅客完整的个人信息,包括家庭住址、邮箱、电话号码、信用卡号、常旅客号(注:常坐飞机的人士都可以成为航空公司的会员,每位会员都会有航空公司的里程卡,卡号是常旅客号)以及预订机票时的IP地址。
更糟的是,黑客有时甚至都不需要明确的ID就能够查询旅客的个人信息。GDS和航空公司网站都没有限制访问编码的次数,这意味着旅客信息可以通过强力攻击的方式获得。就算是想要找到特定对象的个人信息也不是那么困难,因为ID是按照顺序分配给用户的,这也大大减少了黑客获取特定信息的工作量。
然而,黑客们并不会善罢甘休——他们还会滥用这些旅客的个人信息。Nohl和Nikodejevic称,黑客可以在你不知情的情况下修改你的航班信息,或者直接取消航班并获取代金券,以供自己使用。常旅客所累积的飞行里程也会遭到“洗劫”。更可怕的是,黑客们知晓你的所有行程,因此很有可能在你外出度假时向你发起网络钓鱼攻击。
解决这一问题的方法很简单:提升系统安全性。研究人员建议在线服务提供者应限制每个IP访问旅行记录的次数,并通过验证码来防止强力攻击。当然,直接替换原有的六位密码也是个不错的方法,但这需要很长的时间来实现。