國際航空訂票系統存在漏洞，可輕易取消、修改航班預約

來自國外媒體CSO的報道，國外數千萬人每天在用的「旅行預訂系統」非常不安全，缺乏應有的身份認證方案。攻擊者利用系統的弱點，能夠輕易更改旅客預約、取消此人的航班甚至可以利用退款系統為攻擊者自己買機票。

在上周第33屆混沌通信大會（Chaos Communications Congress）上知名黑客Karsten Nohl和Nemanja Nikodijevic演示證明了最近的訂票系統在設計上是存在嚴重的安全問題的。

下面是33c3上Karsten Nohl演示視頻：

GDS很脆弱：暴力猜測預訂碼只需幾分鐘

這兩名研究者針對全球分銷系統（GDS）進行了幾個月的安全研究。這裡的全球分銷系統（GDS），其使用者通常都是旅遊行業者，包括航空公司，旅行社，酒店和租車公司。

GDS可以看作是一個包含旅行預訂等所有信息的龐大資料庫，其中就有所謂的PNR——也就是乘客姓名記錄，這裡面的數據內容包括旅行者姓名，行程，旅行日期，票據細節，電話號碼，電子郵件，護照信息，信用卡卡號，座位號和行李信息等。

旅行數據對於騙子和釣魚者來說當然相當有價值，利用這些數據，攻擊者可以發起有針對性的攻擊或是欺詐。

所以GDS的安全實際上是相當重要的。

世界上最主要的GDS運營商包括了Sabre，Travelport和Amadeus。對於這些GDS運營方來說，要增加或者修改旅客的航班數據，只需要使用旅客的姓氏和6位預訂碼（booking code）訪問系統就能輕易搞定。

而PNR的防護級別實際上相當之低，比如預訂碼對攻擊者而言是相當容易獲得的——它就列印在行李標籤上，而且機票的二維碼中也插入了這一信息。

很多旅客在整個旅程尚未結束時就會扔掉手裡的登機牌，還有些人還會把登機牌曬到社交網路上——原本將登機牌暴露出來就是對隱私的蔑視。

GDS作為一個系統可從任意位置訪問，訪問點包括航空公司網站、旅行機構和類似CheckMyTrip這樣的第三方網站。

兩名研究人員解釋稱，許多航空公司和旅程核查網站根本就不限制預訂碼輸入的次數，攻擊者要進行暴力猜測攻擊也就可行了。

而且系統還只用大寫字母，猜起來更容易。研究人員演示了針對某個姓氏，找出相應預訂碼的方法，整個過程是完全自動的，只需要數分鐘。

其中一家GDS運營方為了避免預訂碼混淆，所以不用1和0這兩個數字（避免和I和O字幕混淆）；另外兩家的預訂碼則是順序往下排的。這樣一來，攻擊者要暴力猜出預訂碼又實在是太容易的一件事了。

如上所述，有了姓氏和預訂碼，要做取消航班一類的操作就很容易了，攻擊者還能利用航空公司給的點數來訂購新機票。

GDS系統登錄密碼真的很弱

CSOonline在報道中提到：

那些旅行機構有登錄GDS的高許可權賬戶，而這些賬戶的密碼強度都相當弱。比如說有機構用『WS』作為密碼，WS就是web service的縮寫。

如果登錄是以DDMMYY的格式創建的，密碼後面會跟上相應的日期。這樣的密碼很容易就被暴力破解，但悲劇的是，從研究人員觀察的情況來看，這樣的密碼已經是旅行機構所有的最為複雜的密碼之一了。

足見GDS的安全性從來沒有被當成一回事。攻擊者訪問他人的預訂數據可導致隱私侵犯，這還是小事，攻擊者可濫用此類訪問使自身受益。

比如說，他們可以將他們的飛行常客號添加到其他乘客的長途班，以獲得自己的獎勵里程。

更更悲劇的是，GDS資料庫中沒有進行日誌記錄。由於沒有日誌記錄，也無法得知誰訪問了資料庫，以及系統中存在多少數據濫用。

「密碼等安全措施已經這麼普及了，我認為我們有權利知道誰訪問了我們的記錄，這是一種義務——尤其是讓我們了解這些系統現如今有多麼不安全。」

*參考來源：

securityaffairs

、

csoonline

，FB小編bimeover編譯，轉載請註明來自

Freebuf.COM