🎇 🤥 👉 في الشبكات الاجتماعية ، يمكنك العثور على صور لتذاكر الطيران وتعيين أميال إضافية ⤴️ 👨‍👩‍👦‍👦 👨🏻‍🎤

لا تتبع أنظمة حجز التذاكر قواعد السلامة الأساسية. وبسبب هذا ، يمكن للمتسللين ذوي الحيلة الكبيرة تخصيص أميال إضافية توفرها شركات الطيران للمسافرين الدائمين. يتم وصف كيفية القيام بذلك بالتفصيل في العرض التقديمي للمتخصص الشهير كارستن نوهل وزميلته نيمانيا نيكوديجيفيتش ، والذي قدمه الرجال في المؤتمر السنوي الثالث والثلاثين لمؤتمر الاتصالات الفوضى (333).

نحن نتحدث عن أنظمة الحجز العالمية (GDS) ، التي تجمع المعلومات من وكالات السفر ومواقع حجز التذاكر مع تطبيقات التذاكر ، وكذلك من شركات الطيران والفنادق وشركات تأجير السيارات.

تتركز جميع المعلومات في GDS مع تحديد توافر التذاكر / التذاكر وسعرها وحجزها. لا تقوم قاعدة البيانات هذه بتخزين المعلومات العامة حول الأسعار ومدى التوفر فحسب ، بل تخزن أيضًا معلومات شخصية عن العملاء الذين حجزوا تذاكر.

هذا هو شكل التذكرة الإلكترونية النموذجية ، التي يصدرها نظام GDS لمستخدم معين بعد تسجيل الحجز. يتم تخزين المستند في قاعدة بيانات GDS.

رمز الحجز (PNR)

تهيمن أنظمة التوزيع العالمية الرئيسية الثلاثة حاليًا على السوق العالمية: أماديوس (تأسست عام 1987) ، صابر (تأسست عام 1960) وجاليليو (الآن ترافلبورت). على سبيل المثال ، تتعاون شركتا لوفتهابزا وأيربرلين ، بالإضافة إلى وكيل السفر اكسبيديا ، مع الشركة الأولى. مع ثاني - الخطوط الجوية الأمريكية وأيروفلوت. على سبيل المثال ، إذا قمت بحجز تذكرة طيران لشركة American Airlines عبر Expedia ، فسيتم تخزينها في كل من GDS: Amadeus و Sabre. من الصعب عمومًا التنبؤ مسبقًا مسبقًا بأي نظام توزيع عالمي يمكنك العثور على معلومات شخصية لمستخدم معين ، نظرًا لوجود حجوزات فندقية ووسطاء وكلاء سفر وما إلى ذلك.

حقق كارستن نول ونامانيا نيكوديفيتش في حماية أمن المعلومات في أنظمة GDS ووجدوا أنه قريب من الصفر. نحن نتحدث عن مستوى الأمان المتأصل في الأنظمة الإلكترونية في السبعينيات والثمانينيات. بدأت هذه الشركات في استخدام "التخزين السحابي" للبيانات حتى قبل ظهور مثل هذا المصطلح. في ذلك الوقت ، لم يتمكنوا من توفير حماية تشفير موثوقة من حيث المبدأ. علاوة على ذلك ، يوفر النظام مستوى ضعيف جدًا من حماية الوصول. هذا بسبب السماح للعديد من الوكلاء بالدخول إلى النظام: وهي شركات الطيران ووكالات السفر والفنادق وما إلى ذلك.

وهكذا ، في الواقع ، فإن جميع موظفي GDS ، وكذلك جميع موظفي الوكلاء ، لديهم حق الوصول إلى جميع PNRs. يقترح الباحثون أن مختلف الوكالات الحكومية لديها أيضًا إمكانية الوصول إلى PNR.

للوصول إلى GDS على المستوى الأساسي ، لا تحتاج حتى إلى تعيين تسجيل دخول وكلمة مرور تعسفيين. يتم تعيينهم تلقائيًا ، حيث يتم تعيين الاسم الأخير للمستخدم على أنه تسجيل الدخول ، ورمز الحجز (PNR) ككلمة المرور . هو الرمز المطبوع على التذاكر الإلكترونية والذي تم تلطيخه في أول لقطة شاشة.

وماذا نرى في العديد من الصور على Instagram والشبكات الاجتماعية الأخرى؟ يقوم المستخدمون بتصوير تذاكرهم الإلكترونية بلا مبالاة ونشرها في المجال العام. علاوة على ذلك ، يمكن جمع هذه الرموز حتى في وضع عدم الاتصال بمجرد تصوير العلامات على أمتعة الركاب. تتم طباعة المعلومات السرية (في الواقع ، كلمة مرور النظام) ببساطة على الطابعة ، ويتم لصقها على الحقيبة ووضعها للعرض العام.

في بعض الأحيان يتم ترميزه في رمز الرسم للماسح الضوئي ، ولكن يمكن التعرف عليه بسهولة.

في المجال العام ، يمكنك العثور على الآلاف من هذه الصور مع الرموز التي يتم استخراج سجلات PNR منها.

ماذا يمكن أن نحصل عليه إذا عرفنا معرف PNR (ستة أحرف) واسم العائلة؟ يمكننا الحصول على معلومات حول هوية المستخدم ، وربما حتى معلومات حول الفندق الذي لديه غرفة محجوزة فيه ، واستئجار سيارة. بالإضافة إلى معلومات حول الأميال الإضافية ومكافآت شركات الطيران الأخرى للمسافرين الدائمين. معلومات الاتصال: الهاتف وعنوان البريد الإلكتروني وغالبًا عنوان بريدي. في كثير من الأحيان ، تتوفر تفاصيل جواز السفر في GDS ، بما في ذلك تاريخ الميلاد.

يرى المتسللون الذين لديهم حق الوصول إلى GDS أيضًا معلومات الدفع - رقم البطاقة المصرفية وتاريخ انتهاء الصلاحية (exp.date) ، بالإضافة إلى عنوان IP الخاص بالمستخدم. قد تكون هذه المعلومات مفيدة في عملية أخرى لتزوير الشخصية.

يلفت مؤلفو التقرير الانتباه إلى حقيقة أنه يمكن اختيار رمز PNR المكون من ستة أرقام بقوة شديدة. الانتروبيا 29.2-28.9 بت.

لدى الخطوط الجوية أيضًا الكثير للقيام به إذا كنت تتعامل مع PNR الشهير. على سبيل المثال ، تسمح لك أحيانًا بتغيير تاريخ المغادرة وتغيير التذكرة (ستكون هذه مفاجأة للضحية). يسمح لك البعض بتغيير الاسم الموجود على التذكرة (هذه بالفعل مكافأة لطيفة). تمنح معظم الشركات مكافآت مختلفة على PNR.

وهكذا ، يظهر سيناريو عام. نختار الألقاب القياسية ، القوة الغاشمة PNR ، نجد تذاكر مناسبة. إذا كانت شركة الطيران تسمح للركاب على تذاكر السفر دون التحقق من جواز السفر ، فقم بتغيير التاريخ وعنوان البريد الإلكتروني - وسافر عند الضرورة. إذا تم التحقق من المستندات ، فإننا نعيد التذكرة ، نتلقى مكافآت ، وبمساعدتهم يشتري تذكرة جديدة باسمه - ونحن نسافر مجانًا.

يمكن استخدام الأميال المجانية ليس فقط للرحلات ، ولكن أيضًا للإقامة المجانية في الفنادق واستلام شهادات الهدايا. وبمساعدة هذا الأخير ، يمكنك "صرف" الأميال المجانية من خلال تبادل الشهادات للسلع وبيعها أو تسليمها إلى المتجر مقابل النقد. لذا فإن أنظمة الحجز القديمة قادرة على توفير حياة مريحة لأكثر من هاكر واحد.

يوضح تقرير Karsten Nol و Namanya Nikodievich تفاصيل PNR لمختلف GDS والشخصيات الصالحة وغيرها من المعلومات للقوة الغاشمة.

عرض Karsten Nol و Namanya Nikodievich في 33C3 ( pdf )

في الشبكات الاجتماعية ، يمكنك العثور على صور لتذاكر الطيران وتعيين أميال إضافية

More articles: