#flighttickets: Aufgepasst mit Fotos von Flugtickets!

Eine Wordcloud wo man groß "Cyber Security" rauslesen kann
pixabay.com

Ende 2016 fand in Hamburg wieder das alljährliche Hacker-Treffen “Chaos Communication Congress” statt. Auf dem Kongress gab es einen regen Austausch über Internetsicherheit, Netzpolitik und andere technische und gesellschaftliche Themen. Traditionell werden auf dem Kongress auch immer Schwachstellen und Hacks veröffentlicht.

Die “älteste cloud der Welt”

Dieses Jahr stand aber kein modernes Betriebssystem oder ein neues Gadget im Mittelpunkt, sondern die „älteste Cloud der Welt“ – das System, mit dem Flugbuchungen vorgenommen werden. Jede Airline muss mit jeder anderen Fluggesellschaft, mit Reisebüros und -veranstaltern kommunizieren können, welche Sitze auf welchem Flug noch frei sind. Leider ist dieses System sehr alt und bei seiner Konzeption wurde nicht sehr viel Wert auf Sicherheit gelegt.

Wer einen Flug bucht, erhält einen sechsstelligen Code, die Buchungsnummer. Dieser Code ist auch auf das Flugticket aufgedruckt, meistens in Form eines Barcodes. Zusammen mit dem Nachnamen reicht dieser Code bei den allermeisten Fluggesellschaften, um sich in deren Online-System einzuloggen und zum Beispiel vor dem Flug online einzuchecken. Oder eine Vorteilskarte wie „Miles and More“ einzutragen, den Sitz zu wechseln oder sogar den Flug zu stornieren oder umzubuchen. Alles, was dafür nötig ist, ist der Nachname und der sechsstellige Buchungscode, der auf dem Ticket aufgedruckt ist.

Flugtickets, einfache Beute für Hacker

Für Hacker ist es ziemlich einfach, dieses System auszunutzen. Neben etwas komplizierten Brute-Force-Attacken gibt es eine kinderleichte Möglichkeit, an funktionierende Kombinationen von Nachnamen und Buchungsnummer zu kommen: Man schaut einfach auf Instagram die Fotos unter dem Hashtag #flighttickets durch. Dort gibt es viele Menschen, die sich keine Gedanken darüber machen, dass auf ihren Tickets Informationen gedruckt sind, die dazu führen könnten, dass jemand sie umbucht oder ihren Sitz ändert. Das gleiche gilt natürlich für andere soziale Netzwerke.

Die meisten Hacker, die diesen Trick anwenden, werden versuchen, mit einer Vorteilskarte „Flugmeilen“ zu sammeln, um so ohne viel Aufwand an Geld zu kommen. Wenn man selbst keine Vorteilskarte besitzt, entsteht eigentlich auch kein Schaden. Unter Umständen ist es jedoch möglich, einen Flug zu stornieren oder umzubauen. Deswegen gilt: Keine Fotos von Flugtickets auf Instagram oder anderen sozialen Netzwerken posten! Und wenn es unbedingt sein muss, sollten der Name und der Barcode unkenntlich gemacht werden. Wie bei allen wichtigen Dokumenten gilt jedoch auch hier, dass sie bestenfalls nicht für jeden sichtbar online gestellt werden sollten.

 

Quelle: https://media.ccc.de/v/33c3-7964-where_in_the_world_is_carmen_sandiego