Beheer

Security
luchtvaart

Passagiersgegevens luchtvaart nauwelijks beveiligd

6-cijferige code kan zich niet meten met beveiliging van doorsnee voetbalclub- of e-commerce-site

© CC0 Public Domain BonnieHenderson
29 december 2016

6-cijferige code kan zich niet meten met beveiliging van doorsnee voetbalclub- of e-commerce-site

De records met vluchtgegevens van luchtvaartpassagiers zijn verrassend slecht beveiligd. Wie de achternaam van de reiziger kent, hoeft alleen nog maar een code van 6 cijfers te ontdekken. Dat is voor een computer die domweg uitprobeert een fluitje van een cent.

Terwijl serieuze online systemen hun naam+wachtwoord-authenticatie steeds vaker uitbreiden met een zogeheten tweede factor (zoals een dongel, een per SMS-toege\zonden verificatiecode of een biometrische check) hebben global distribution systems (GDS) als Amadeus, Sabre en Travelport hun één-factor-authenticatie nog niet eens op een behoorlijk niveau. Dat stelt het Berlijnse Security Research Labs in een verklaring.

Amadeus, Sabre en Travelport dateren uit de jaren 70 en 80 van de vorige eeuw en worden door luchtvaartmaatschappijen ingeschakeld om de 'enkele versie van de waarheid' te beheren voor wat wie waar in welk toestel zit. De records bevatten behalve deze gegevens ook pointers naar records waarin aansluitende vluchten zijn vastgelegd. Ook informatie voor de routering van bagage is hier verwerkt. Deze records zijn niet anders beveiligd dan door een zogeheten 'primary key' van zes cijfers. Wie deze key kent of raadt kan gegevens niet alleen inzien, maar ook veranderen. Bijvoorbeeld om Airmiles te stelen of om te verhinderen dat iemand ook werkelijk kan boarden voor z'n geboekte vlucht of voor overtuigende phishing-acties.

Security Research Labs dringt aan op aanpassing van de systemen. Als eerste maatregel suggereren ze een voorziening die voorkomt dat in hoog tempo honderden opvraag-pogingen worden ondernomen vanuit één enkel IP-adres. Dat maakt brute force hacking lastiger, maar uiteindelijk zal toch ook zwaarder beveiligingsgeschut in stelling moeten worden gebracht.

Lees meer over
Zie ook Beheer op AG Connect Intelligence
Reactie toevoegen