隨著互聯網的快速發展,預訂機票越來越簡單易行,當你在網上選好航班、支付費用完成后就會感覺一身輕松,對嗎?大部分情況下的確是這樣——只要黑客不會阻止飛機起飛。不過現在,黑客入侵飛行系統也和訂機票一樣簡單了。
近日,來自德國安全公司Security Research Labs的Karstein Nohl 和Nemanja Nikodejevic指出,我們現在使用的旅行預訂系統十分不安全。事實上,三大處理航班預定的全球分銷系統(GDS, Global Distributed Systems )都會通過不同的方式受到濫用。
這三大GDS分別是Amadeus、Sabre和Travelport,在全球范圍內處理共計超過90%的機票訂單。據研究人員發現,這些系統基本都建立于上世紀七八十年代,而他們的系統只是同現代網絡科技做了簡單的結合,并沒有完全替換。這也就意味著,這些系統的鑒別機制非常的落后和脆弱。
用戶通過六位數的密碼登錄GDS系統,而這六個數字也是預定代碼(也就是常說的PNR編碼)。旅客ID一般會直接打印在登機牌和行李標簽上。也就是說,任何靠近你行李或者看到你登機牌的人都能夠輕易看到并用手機拍下你的編碼。通過這個編碼可以訪問旅客完整的個人信息,包括家庭住址、郵箱、電話號碼、信用卡號、常旅客號(注:常坐飛機的人士都可以成為航空公司的會員,每位會員都會有航空公司的里程卡,卡號是常旅客號)以及預訂機票時的IP地址。
更糟的是,黑客有時甚至都不需要明確的ID就能夠查詢旅客的個人信息。GDS和航空公司網站都沒有限制訪問編碼的次數,這意味著旅客信息可以通過強力攻擊的方式獲得。就算是想要找到特定對象的個人信息也不是那么困難,因為ID是按照順序分配給用戶的,這也大大減少了黑客獲取特定信息的工作量。
然而,黑客們并不會善罷甘休——他們還會濫用這些旅客的個人信息。Nohl和Nikodejevic稱,黑客可以在你不知情的情況下修改你的航班信息,或者直接取消航班并獲取代金券,以供自己使用。常旅客所累積的飛行里程也會遭到“洗劫”。更可怕的是,黑客們知曉你的所有行程,因此很有可能在你外出度假時向你發起網絡釣魚攻擊。
解決這一問題的方法很簡單:提升系統安全性。研究人員建議在線服務提供者應限制每個IP訪問旅行記錄的次數,并通過驗證碼來防止強力攻擊。當然,直接替換原有的六位密碼也是個不錯的方法,但這需要很長的時間來實現。
京公網安備 11010502049343號