Herzlich Willkommen auf dem Blog von Webprofil.
Hier gibt es regelmäßig News und Interessantes aus der Netzwelt, insbesondere zu Themen wie Datenschutz, Suchmaschinen sowie IT-Technik im Allgemeinen. Stöbern Sie durch unsere exklusiven Artikel und informieren Sie sich zu angesagten und aktuellen Themen. Gerne können Sie uns auch per Social Media abonnieren und so regelmäßig Updates aus unserem Blog erhalten.
Datenklau bei Online-Buchungen: Wie sicher ist der Barcode auf dem Flugticket?
Freitag, 30.12.2016 15:22:05Seit über 30 Jahren ruht sich das Unternehmen Amadeus die Sicherheit ihres Buchungssystem aus, welches Millionen Kundendaten aus der ganzen Welt speichert, die online ihre Reisen buchen. Ein sechsstelliges Passwort, das weder Groß- und Kleinschreibung unterscheidet, Sonderzeichen nicht zulässt und selbst gängige Zahlen-Kombinationen zwecks Verwechslungsgefahr schlichtweg nicht erlaubt, reiche aus, um die Daten der Person und Buchungen zu gewährleisten und zu schützen.
Ein Buchungssystem mit Defiziten
So wie oben beschrieben dachte man bislang. Bis vor Kurzem die Forscher der Security Research Labs in Berlin erfolgreich genau diesen vermeintlich sicherer Schutz vor Datenklau mittels dieses Passwortes schlichtweg zunichte machten und als äußerst unsicher erklärten. Große Fluggesellschaften, wie Lufthansa, Iberia, Air France und SAS verlassen sich auf das Sicherheitssystem seit drei Jahrzehnten. Es dient quasi als Sammelstelle für Buchungen, an dessen Buchungssystem auch Hotels, Kreuzfahrten, Reisebüros und Eisenbahngesellschaften geknüpft sind. Sobald hierüber eine Buchung getätigt wird, landet sie garantiert beim Sicherheitssystem Amadeus. Die Daten werden gespeichert und nebst Passwort gesichert. So der bisherige Plan. Die Forscher des Berliner Labors stellten aber sehr schnell fest, dass sie äußerst leicht und relativ unkompliziert Zugang zu allen Daten von Passagieren und Kunden bekamen. Noch schlimmer sogar, sie konnten die Daten verändern und manipulieren. Das System ist also alles andere, als sicher.
Datenmissbrauch leicht gemacht
Und was die Forscher nun aufdeckten, ist genau die richtige Plattform für Kriminelle. Sie könnten mit den gleichen Methoden an Daten von Unternehmen und Menschen gelangen und sie nutzen. Erpressungen, Verfolgungen, Überwachungen und Betrug sind nur die geringsten Schäden, die durch diesen Missbrauch entstehen könnten. Der jeweilige Buchungscode, der bei jeder Buchung, die über dieses System erfolgt vergeben wird, sei aber nur eine Schwachstelle. Die größte Gefahr sehen die Forscher allerdings im öffentlichen Zugang für Kunden auf Webseiten, wie beispielsweise Checkmytrip. Hier können sie sich ihre Reisedaten und Buchungen noch einmal genaustens anschauen und durchlesen. Nicht nur dass diese Seiten eigentlich völlig unsinnig seien, da schließlich alle Reise- und Buchungsdaten sofort via E-Mail an den Reisenden als Reisebestätigung mit allen wichtigen Reisedetails und Eckdaten versehen gesendet werden. Der Zugang ist ganz einfach: Der Nachname und der Buchungscode, der als sicheres Passwort fungiert, reichen aus, um alles zu erfahren.
Buchungscode leicht zu durchschauen
Die Berliner Forscher fanden heraus, dass sich der vermeintlich sichere Buchungscode von unterschiedlichen Menschen ganz einfach berechnen lässt. Liegt die Buchung noch sehr nahe, ist es umso leichter, den Code ausfindig zu machen. Da diese jeden Tag sequenziell vergeben werden, kann man sehr leicht ausmachen, welcher am Tag X am Morgen vergeben wurde und welcher es wahrscheinlich am Nachmittag sein wird. Die Forscher mieteten sich die Rechenkapazität von 20 Cloudcomputern, schrieben ein Skript und fütterten es mit Kombinationen aus dem Nachnamen XY und diversen Buchungsnummern auf Checkmytrip.com. Und schon wurden sie fündig und hatten so spielend den Zugang auf die jeweiligen Buchungsdaten. Diese, mit nackter Rechengewalt durchgeführte Attacke nennt man auch "Brute Force." Nun kann man sich ausmalen, was so alles mit den Daten gemacht werden kann, wenn sie in falsche Hände geraten.
Dabei ist Sicherheit nicht schwierig
Wenn beispielsweise zwei Millionen Buchungen täglich über Amadeus laufen, könnte ein PC pro Stunde etwas 100.000 Durchforsten und überprüfen. Und dies sei noch nicht einmal mit erheblichen Kosten verbunden, raten die Forscher. Mehrere falsche Eingaben des Codes, die zu einer vorläufigen Sperre des Auftraggebers führt, wie es sie vielfach bei anderen Großunternehmen oder auch Kleinbetrieben nebst Login-Daten gibt, findet hier nicht statt.
Keine Kommentare vorhanden
Dieser Artikel ist relevant zu Datenklau, Online-Buchungen, Amadeus, Barcode.
Nächster Artikel | Zurück zum Blog | Vorheriger Artikel | ||
Blog-Archiv
2023
2022
November(1) Oktober(1) Juni(1) März(1)
2021
2020
Dezember(1) September(1) August(1) Mai(1) April(1)
2019
November(2) August(1) Mai(1) April(1) März(1) Februar(1) Januar(1)
2018
Dezember(1) September(1) Juli(1) Juni(1) Mai(1) April(1) Februar(2) Januar(2)
2017
Dezember(1) November(2) Oktober(1) September(1) August(1) Juli(1) Juni(2) Mai(2) April(3) März(2) Februar(1) Januar(5)
2016
Dezember(3) November(3) Oktober(1) September(3) August(2) Juli(2) Juni(2) Mai(2) April(2) März(2) Februar(3) Januar(3)
2015
Dezember(3) November(3) Oktober(1) September(2)
Beliebteste 3 Blogartikel
Praktische Tipps für den Datenschutz im Internet
Cicada 3301: Der größte Internet-Mythos der Welt
Datenschutz und Streamingdienste - Hörverhalten im 21. Jahrhundert