Dans les réseaux sociaux, vous pouvez trouver des photos de billets d'avion et attribuer des miles bonus

Les systèmes de réservation de billets ne respectent pas les règles de sécurité de base. Pour cette raison, les pirates ingénieux peuvent attribuer des miles bonus que les compagnies aériennes fournissent aux voyageurs fréquents. Comment faire est décrit en détail dans une présentation par le spécialiste renommé Karsten Nohl et son collègue Nemanja Nikodijević, que les gars ont présenté lors de la 33e conférence annuelle Chaos Communication Congress (333).

Nous parlons de systèmes de réservation mondiaux (GDS), qui collectent des informations auprès des agences de voyages et des sites de réservation de billets avec des demandes de billets, ainsi que des compagnies aériennes, des hôtels et des sociétés de location de voitures.

Toutes les informations sont concentrées dans GDS avec la détermination de la disponibilité des billets / billets, leur prix et réservation. Cette base de données stocke non seulement des informations générales sur les prix et la disponibilité, mais également des informations personnelles sur les clients qui ont réservé des billets.

Voici à quoi ressemble un billet électronique typique, qui est émis par le système GDS à un utilisateur spécifique après avoir enregistré une réservation. Le document est stocké dans la base de données GDS.


Code de réservation (PNR)

Les trois principaux GDS dominent actuellement le marché mondial: Amadeus (fondée en 1987), Sabre (fondée en 1960) et Galileo (aujourd'hui Travelport). Par exemple, les compagnies aériennes Lufthabsa et AirBerlin, ainsi que l'agence de voyage Expedia, collaborent avec la première. Avec le second - American Airlines et Aeroflot. Par exemple, si vous réservez un billet d'avion American Airlines via Expedia, il sera stocké dans GDS: Amadeus et Sabre. Il est généralement difficile de prévoir à l'avance dans quel GDS particulier vous pouvez trouver des informations personnelles pour un utilisateur spécifique, car il existe également des réservations d'hôtel, des intermédiaires d'agents de voyage, etc.

Karsten Nol et Namanya Nikodievich ont enquêté sur la protection de la sécurité de l'information dans les systèmes GDS et ont constaté qu'elle était proche de zéro. Nous parlons du niveau de sécurité inhérent aux systèmes électroniques des années 70 et 80. Ces sociétés ont commencé à utiliser le «stockage en nuage» des données avant même qu'un tel terme n'apparaisse. À cette époque, ils ne pouvaient en principe pas fournir une protection cryptographique fiable. De plus, le système offre un niveau de protection d'accès très faible. En effet, trop d'agents sont autorisés à accéder au système: ce sont les compagnies aériennes, les agences de voyage, les hôtels, etc.

Ainsi, en fait, tous les employés de GDS, ainsi que les employés de tous les agents, ont accès à tous les PNR. Les chercheurs suggèrent que divers organismes gouvernementaux ont également accès au PNR.

Pour accéder à GDS à un niveau de base, vous n'avez même pas besoin de définir un identifiant et un mot de passe arbitraires. Ils sont attribués automatiquement, où le nom de famille de l' utilisateur est défini comme identifiant et le code de réservation (PNR) comme mot de passe . C'est le code qui est imprimé sur les tickets électroniques et qui est taché dans la première capture d'écran.

Et que voit-on sur de nombreuses photos sur Instagram et autres réseaux sociaux? Les utilisateurs photographient négligemment leurs billets électroniques et les publient dans le domaine public. De plus, ces codes peuvent être collectés même hors ligne en photographiant simplement des étiquettes sur les bagages des passagers. Les informations secrètes (en fait, le mot de passe du système) sont simplement imprimées sur l'imprimante, collées à la valise et présentées au public.



Parfois, il est encodé dans le code graphique du scanner, mais est facilement reconnu.



Dans le domaine public, vous pouvez trouver des milliers de ces photos avec des codes dont les PNR sont extraits.

Que pouvons-nous obtenir si nous connaissons l'identifiant PNR (six caractères) et le nom de famille? Nous pouvons obtenir des informations sur l'identité de l'utilisateur, peut-être même des informations sur l'hôtel dans lequel il a réservé une chambre et sur la location d'une voiture. Plus d'informations sur les miles bonus et autres récompenses aériennes pour les grands voyageurs. Coordonnées: téléphone, adresse e-mail, souvent une adresse postale. Souvent, les détails du passeport sont disponibles dans GDS, y compris la date de naissance.

Les pirates ayant accès à GDS voient également les informations de paiement - un numéro de carte bancaire et une date d'expiration (date d'expiration), ainsi que l'adresse IP de l'utilisateur. Ces informations peuvent être utiles dans le processus ultérieur de falsification de la personnalité.

Les auteurs du rapport attirent l'attention sur le fait que le code PNR à six chiffres peut même être sélectionné par force brute. Entropie 29,2-28,9 bits.

Les compagnies aériennes ont également beaucoup à faire si vous gérez le célèbre PNR. Par exemple, ils vous permettent parfois de changer la date de départ et de changer le billet (ce sera une surprise pour la victime). Certains vous permettent même de changer le nom sur le ticket (c'est déjà un joli bonus). La plupart des entreprises accordent divers bonus sur PNR.

Ainsi, un scénario général émerge. Nous sélectionnons des noms de famille standard, PNR de force brute, nous trouvons des billets appropriés. Si la compagnie aérienne autorise les passagers sur des billets sans vérifier un passeport, modifiez la date et l'adresse e-mail - et volez si nécessaire. Si les documents sont vérifiés, nous retournons le billet, nous recevons des bonus, avec leur aide, il achète un nouveau billet en son nom - et nous volons gratuitement.

Les miles gratuits peuvent être utilisés non seulement pour les vols, mais également pour l'hébergement gratuit dans les hôtels et la réception de chèques-cadeaux. Avec l'aide de ce dernier, vous pouvez «retirer» des miles gratuits en échangeant des certificats contre des marchandises et en les revendant ou en les remettant au magasin en échange d'argent. Ainsi, les anciens systèmes de réservation sont en mesure d'offrir une vie confortable à plus d'un pirate.

Le rapport de Karsten Nol et Namanya Nikodievich détaille le PNR de divers GDS, des caractères valides et d'autres informations sur la force brute.

Présentation de Karsten Nol et Namanya Nikodievich au 33C3 ( pdf )

Source: https://habr.com/ru/post/fr400341/