CONOCIMIENTO pertenece al mundo
Cambio de las reservas de vuelos de viaje es demasiado fácil. Absolutamente asombrosa la investigación Karsten Nohl en la inseguridad de la información de vuelo viajero.
Los actuales sistemas de reserva de viajes es profundamente insegura, que carece de la seguridad cibernética por diseño y los piratas informáticos notorios Karsten Nohl y Nemanja Nikodijević han demostrado que en el 33 Chaos Communication Congress celebrado en Hamburgo la semana pasada ( "¿Dónde en el mundo está Carmen Sandiego?" ).
Los expertos explican que es muy fácil de modificar la reserva de cualquier pasajero, cancelar sus reservas de vuelo, e incluso utilizar las restituciones a reservar entradas para sí mismos.
El dúo de seguridad ha llevado a cabo durante varios meses una investigación sobre seguridad empleado por los sistemas de distribución global (GDS) que son utilizados por diferentes actores de la industria de viajes, incluyendo las compañías aéreas, agencias de viajes, hoteles y empresas de alquiler de coches.
A continuación el video de la presentación celebrada durante el 33º Congreso de Comunicación Caos.
GDS son enormes archivos que contienen toda la información sobre las reservas de viajes, que incluyen el llamado pasajeros (PNR), registros incluyen información como el nombre del viajero, el itinerario, fechas, detalles de entradas, número de teléfono, correo electrónico, información de pasaporte, números de tarjetas de crédito , el número de asiento e información de equipaje. datos de viaje es muy valioso para los estafadores y estafadores que lo puedan utilizar para lanzar ataques dirigidos y organizar fraudes complejos.
Según lo explicado por los expertos los operadores de GDS más importantes en el mundo son Sabre, Travelport, y Amadeus. El descubrimiento desconcertante hecho por el investigador es que es posible añadir o modificar los datos de viaje mediante el acceso al sistema con un apellido y un código de reserva de seis caracteres.
Tenemos que pensar en los GDS como sistemas accesibles desde todas partes, los puntos de acceso podrían ser sitios web de aerolíneas, agencias de viajes, así como sitios web de terceros como CheckMyTrip. Cada vez que un viaje incluye vuelos con diferentes compañías aéreas la reserva puede ser modificado a través de los sitios web de cualquiera de las aerolíneas que operan el viaje.
Los atacantes podrían cancelar un vuelo, y si la reserva permite a los ladrones de cambio podrían utilizar el crédito dado por la aerolínea para reservar un nuevo billete.
Por desgracia, el nivel de protección para el PNR es muy pobre, el código de reserva es fácil de obtener, se imprime en las etiquetas de equipaje y también está incrustado en los códigos QR impreso en las entradas.
Los pasajeros que utilizan para tirar a la basura vieja tarjeta de embarque incluso cuando el viaje en general aún no se ha completado, o peor aún, que publican en las redes sociales las imágenes de los billetes.
Explicamos en el pasado que del documento de embarque contiene información personal que podría ser explotada por los hackers.
El investigador populares Brian Krebs publicó un interesante post sobre el tema explicando que un documento de embarque del código de barras contiene una gran cantidad de datos.
Los expertos destacaron que no hay registro implementado en el GDS, esto significa que es imposible discriminar los accesos.
"En el corto plazo, por lo menos debemos esperar sitios web que dan acceso a la información personal de los viajeros a tener el mínimo de seguridad en la web, y esto incluye al menos la limitación alguna tasa", dijo el investigador. "Y hasta que las contraseñas y otras medidas de seguridad se hacen comunes, creo que tenemos derecho a saber que accede a nuestros registros y tiene que haber algún tipo de responsabilidad, especialmente sabiendo lo inseguro estos sistemas son hoy en día." Explicó Nohl .
Karsten Nohl y Nemanja Nikodijevic explicaron que muchos sitios web de aerolíneas y disparo comprobación no limitan el número de malas códigos pueden introducir los usuarios antes de que sean bloqueados, abriendo la puerta a ataques de fuerza bruta código de adivinar.
El dúo demostró que es una cuestión de minutos para encontrar los correspondientes códigos de reserva para los apellidos populares mediante el uso de métodos automatizados. Trabajar con GDS fuerza bruta ataques de código-adivinanzas son muy fáciles debido a que los sistemas utilizan sólo letras mayúsculas. Los investigadores explicaron que uno de GDS analizados no utiliza 1 y 0 para evitar confusiones con las letras I y O, otros dos GDS aumentar la toma de códigos secuencialmente más fácil para un atacante de adivinar el código withing una secuencia.
"Las agencias de viajes tienen sus propios inicios de sesión maestros en el GDS y estas cuentas tienen contraseñas muy débiles. En un caso, la contraseña era WS, acrónimo de servicio web, seguido de la fecha en que la entrada se ha creado en formato DDMMAA. Esto puede ser fácilmente bruta forzado y por desgracia, era una de las agencias de viajes más compleja Contraseñas Los investigadores observaron ". Informó CSOonline.
Fuente: http: //securityaffairs.co
CONOCIMIENTO pertenece al mundo
No hay comentarios:
Publicar un comentario