Hackers kunnen vluchtboeking eenvoudig aanpassen

Het is zeer eenvoudig voor hackers om op afstand vluchtboekingen van reizigers aan te passen en bijvoorbeeld hun vlucht of stoel te veranderen of de vlucht helemaal te annuleren, zo liet de bekende Duitse hacker Karsten Nohl tijdens het Chaos Communication Congres in Hamburg zien.

Nohl deelde zijn bevindingen al van tevoren met de Duitse televisiezender WDR en demonstreerde hoe hij de reservering van een verslaggever kon aanpassen, door de man op dezelfde vlucht en stoel naast een Duitse senator te plaatsen. Het probleem is het systeem dat reisbureaus en vliegmaatschappijen gebruiken voor het toekennen van tickets, ook bekend als Global Distribution Systems (GDS).

Na het aanschaffen van een ticket krijgt de reiziger een zescijferige code dat door deze systemen wordt gegenereerd. Met deze code is het mogelijk om op de website van de vliegmaatschappij informatie over de vlucht te achterhalen of bijvoorbeeld de vlucht aan te passen. De codes zijn echter zeer eenvoudig voor een computer te genereren. Via een soort van brute force-aanval is het vervolgens mogelijk om een code aan een achternaam te koppelen. Dit kan omdat verschillende van de distributiesystemen geen beperkingen aan het aantal pogingen stellen. De onderzoekers konden zo miljoenen combinaties in korte tijd proberen.

De codes bevatten daarnaast ook geen I of O om verwarring met de cijfers een en nul te voorkomen, waardoor er minder combinaties overblijven, laat Nohl tegenover Vice Magazine weten. Volgens de onderzoeker worden er alleen hoofdletters zonder speciale karakters gebruikt en laten twee van de drie grotere disitrbutiesystemen de nummers oplopen. Zo kan een aanvaller voorspellen wanneer een bepaalde getallenset wordt gebruikt. Naast het aanpassen van vluchten is het via de informatie ook mogelijk om reizigers te volgen, door te kijken waarvandaan en waarnaartoe ze vliegen. Een andere optie is het plegen van fraude. Volgens Nohl is het belangrijk dat organisaties maatregelen nemen om het aantal pogingen beperken. — bron: security.nl