Datenklau bei Online-Buchungen: Wie sicher ist der Barcode auf dem Flugticket?

Herzlich Willkommen auf dem Blog von Webprofil.
Hier gibt es regelmäßig News und Interessantes aus der Netzwelt, insbesondere zu Themen wie Datenschutz, Suchmaschinen sowie IT-Technik im Allgemeinen. Stöbern Sie durch unsere exklusiven Artikel und informieren Sie sich zu angesagten und aktuellen Themen. Gerne können Sie uns auch per Social Media abonnieren und so regelmäßig Updates aus unserem Blog erhalten.

+++ Webprofil News +++ Donnerstag, 01.02.2018 15:20:55 - Sichere Verbindung durch SSL-Zertifikat +++ Dienstag, 16.01.2018 17:25:10 - Änderung der URL-Struktur +++ Dienstag, 04.10.2016 22:17:52 - Performance-Upgrade 2.0 +++ Sonntag, 07.08.2016 14:27:20 - Kommentare für den Blog +++ Dienstag, 24.05.2016 15:34:55 - Bugfixes und Performance verbessert +++ Donnerstag, 21.01.2016 19:02:13 - Die Webprofil Bildergalerie +++ Mittwoch, 23.12.2015 17:19:20 - Die Webprofil Linkgruppen +++ Mittwoch, 02.12.2015 14:37:57 - Der Webprofil Score +++ Freitag, 13.11.2015 15:34:51 - Start der offiziellen Beta-Phase +++ Montag, 28.09.2015 12:22:28 - Webprofil bekommt eine mobile Version +++ Webprofil News +++

Datenklau bei Online-Buchungen: Wie sicher ist der Barcode auf dem Flugticket?

Freitag, 30.12.2016 15:22:05

Seit über 30 Jahren ruht sich das Unternehmen Amadeus die Sicherheit ihres Buchungssystem aus, welches Millionen Kundendaten aus der ganzen Welt speichert, die online ihre Reisen buchen. Ein sechsstelliges Passwort, das weder Groß- und Kleinschreibung unterscheidet, Sonderzeichen nicht zulässt und selbst gängige Zahlen-Kombinationen zwecks Verwechslungsgefahr schlichtweg nicht erlaubt, reiche aus, um die Daten der Person und Buchungen zu gewährleisten und zu schützen.

Barcode

Ein Buchungssystem mit Defiziten

So wie oben beschrieben dachte man bislang. Bis vor Kurzem die Forscher der Security Research Labs in Berlin erfolgreich genau diesen vermeintlich sicherer Schutz vor Datenklau mittels dieses Passwortes schlichtweg zunichte machten und als äußerst unsicher erklärten. Große Fluggesellschaften, wie Lufthansa, Iberia, Air France und SAS verlassen sich auf das Sicherheitssystem seit drei Jahrzehnten. Es dient quasi als Sammelstelle für Buchungen, an dessen Buchungssystem auch Hotels, Kreuzfahrten, Reisebüros und Eisenbahngesellschaften geknüpft sind. Sobald hierüber eine Buchung getätigt wird, landet sie garantiert beim Sicherheitssystem Amadeus. Die Daten werden gespeichert und nebst Passwort gesichert. So der bisherige Plan. Die Forscher des Berliner Labors stellten aber sehr schnell fest, dass sie äußerst leicht und relativ unkompliziert Zugang zu allen Daten von Passagieren und Kunden bekamen. Noch schlimmer sogar, sie konnten die Daten verändern und manipulieren. Das System ist also alles andere, als sicher.

Datenmissbrauch leicht gemacht

Und was die Forscher nun aufdeckten, ist genau die richtige Plattform für Kriminelle. Sie könnten mit den gleichen Methoden an Daten von Unternehmen und Menschen gelangen und sie nutzen. Erpressungen, Verfolgungen, Überwachungen und Betrug sind nur die geringsten Schäden, die durch diesen Missbrauch entstehen könnten. Der jeweilige Buchungscode, der bei jeder Buchung, die über dieses System erfolgt vergeben wird, sei aber nur eine Schwachstelle. Die größte Gefahr sehen die Forscher allerdings im öffentlichen Zugang für Kunden auf Webseiten, wie beispielsweise Checkmytrip. Hier können sie sich ihre Reisedaten und Buchungen noch einmal genaustens anschauen und durchlesen. Nicht nur dass diese Seiten eigentlich völlig unsinnig seien, da schließlich alle Reise- und Buchungsdaten sofort via E-Mail an den Reisenden als Reisebestätigung mit allen wichtigen Reisedetails und Eckdaten versehen gesendet werden. Der Zugang ist ganz einfach: Der Nachname und der Buchungscode, der als sicheres Passwort fungiert, reichen aus, um alles zu erfahren.

Buchungscode leicht zu durchschauen

Die Berliner Forscher fanden heraus, dass sich der vermeintlich sichere Buchungscode von unterschiedlichen Menschen ganz einfach berechnen lässt. Liegt die Buchung noch sehr nahe, ist es umso leichter, den Code ausfindig zu machen. Da diese jeden Tag sequenziell vergeben werden, kann man sehr leicht ausmachen, welcher am Tag X am Morgen vergeben wurde und welcher es wahrscheinlich am Nachmittag sein wird. Die Forscher mieteten sich die Rechenkapazität von 20 Cloudcomputern, schrieben ein Skript und fütterten es mit Kombinationen aus dem Nachnamen XY und diversen Buchungsnummern auf Checkmytrip.com. Und schon wurden sie fündig und hatten so spielend den Zugang auf die jeweiligen Buchungsdaten. Diese, mit nackter Rechengewalt durchgeführte Attacke nennt man auch "Brute Force." Nun kann man sich ausmalen, was so alles mit den Daten gemacht werden kann, wenn sie in falsche Hände geraten.

Dabei ist Sicherheit nicht schwierig

Wenn beispielsweise zwei Millionen Buchungen täglich über Amadeus laufen, könnte ein PC pro Stunde etwas 100.000 Durchforsten und überprüfen. Und dies sei noch nicht einmal mit erheblichen Kosten verbunden, raten die Forscher. Mehrere falsche Eingaben des Codes, die zu einer vorläufigen Sperre des Auftraggebers führt, wie es sie vielfach bei anderen Großunternehmen oder auch Kleinbetrieben nebst Login-Daten gibt, findet hier nicht statt.