[English]Sicherheitsexperten sind mal wieder auf gravierende Schwachstellen bei Flugbuchungssystemen von Airlines gestoßen. Betroffen sind wohl alle Fluggesellschaften, die das Amadeus-Flugbuchungssystem verwenden (ca. 44 % der Anbieter). Es scheint dabei ein ähnlicher Fehler wie in 2016 passiert zu sein, über den man auf Daten andere Kunden zugreifen konnte.
Anzeige
Ich bin vor wenigen Stunden per Mail von den Betreibern der Seite safetydetective.com auf den Artikel Major Security Breach Discovered Affecting Nearly Half of All Airline Travelers Worldwide hingewiesen worden.
Schwachstelle beim ELAT-Flugbuchungssystem
Der (White Hat) Hacker und Aktivist Noam Rotem, der mit dem Forschungslabor Safety Detective zusammenarbeitet, stieß kürzlich eine Sicherheitslücke bei den Buchungssystemen von Fluggesellschaften. Bei der Buchung eines Fluges bei der israelischen Fluggesellschaft ELAL stieß er auf eine erhebliche Schwachstelle. Diese hätte es jedem ermöglicht, auf private Informationen über Flugbuchungen zuzugreifen und diese zu ändern.
Als er dann weiter forschte, stellte der fest, dass die gleiche Schwachstelle bei anderen Fluggesellschaften existiert – er schreibt, dass es die Lücke bei 44% des internationalen Carrier-Marktes gäbe. Daher sind von der Schwachstelle möglicherweise Millionen von Reisenden betroffen.
Amadeus: 44% der Fluggesellschaften betroffen
Laut ELAL geht der Fehler auf das Online-Buchungssystem Amadeus zurück. Dieses besitzt einen Marktanteil von 44% bei weltweit operierenden Fluggesellschaften wie United Airlines, Lufthansa, Air Canada und vielen anderen.
Bei der Buchung eines Fluges mit ELAL erhalten die Nutzer zur Überprüfung der PNR (Print Boarding Pass, Ticketausdruck) einen Link der Art https:[//]fly.elal.co[.il]/[Code]. Durch einfach Änderung des Felds RULE_SOURCE_1_ID soll man, laut dem Bericht, in der Lage sein, auf jeden PNR, der einem Kunden zugeordnet wurde, zuzugreifen und dessen Daten einzusehen oder sogar zu manipulieren.
Mit dem PNR-Code und dem Kundennamen konnten die Hacker sich in das ELAL-Kundenportal (https://booking.elal.co.il/newBooking/changeOrderNewSite.jsp) einloggen und Änderungen vornehmen, Vielfliegermeilen auf ein persönliches Konto einfordern, Plätze und Mahlzeiten zuweisen und die E-Mail-Adresse und Telefonnummer des Kunden aktualisieren, mit denen dann die Flugreservierung über den Kundenservice storniert bzw. geändert werden kann.
Obwohl die Schwachstelle zur Ausnutzung die Kenntnis des PNR-Codes erfordert, sendet ELAL diese Codes per unverschlüsselter E-Mail. Und viele Personen teilen diese Information sogar auf Facebook oder Instagram. Aber das ist nur die Spitze des Eisbergs. Die Hacker führten ein kleines Skript aus, um nach Brute-Force-Schutzmaßnahmen zu suchen. Als vom Script keine Schutzmaßnahmen gefunden wurden, konnten sie PNRs von Zufallskunden finden, die alle deren persönliche Daten enthielten. Die Hacker haben ELAL unverzüglich kontaktiert, um auf die Bedrohung hinzuweisen und sie aufzufordern, die Schwachstelle zu schließen, bevor sie von jemandem mit böswilligen Absichten entdeckt wurde.
Ein Vorschlag war, den Zugriff durch Captchas, Passwörter (anstelle eines 6-stelligen PNR-Codes) und einem Bot-Schutzmechanismus zu schützen, um einen Brute-Force-Ansatz zu vermeiden. Die Antwort von Amadeus:
Anzeige
"At Amadeus, we give security the highest priority and are constantly monitoring and updating our systems. Our technical teams took immediate action and we can now confirm that the issue is solved. To further strengthen security, we have added a Recovery PTR to prevent a malicious user from accessing travelers' personal information. We regret any inconvenience this situation might have caused."
In Kurzfassung: Man hat nach der der Meldung der Schwachstelle diese umgehend behoben und geeignete Maßnahmen ergriffen, um die Daten der Kunden zu schützen. Allerdings ist es nicht das erste Mal, dass das Amadeus Flugbuchungssystem negativ aufgefallen ist. Ich hatte im Dezember 2016 im Beitrag Sicherheitslücken bei Flugbuchungen und –Internet/-Telefonie über eine größere Sicherheitslücke berichtet, die Sicherheitsforscher Carsten Nohl aufgedeckt hatte.
2015
