$
תעשייה ופיננסים

לגנוב טיסה: חוקרים חשפו פרצת אבטחה שמאפשרת להאקרים לגנוב כרטיסים ברשת

לפי דיווחים בתקשורת הגרמנית מיליוני בני אדם הנוהגים להזמין כרטיסי טיסה אונליין בחברות מוכרות כמו אייר ברלין או לופטהאנזה חשופים לפריצות של האקרים בשל רשלנות באבטחה

שירות כלכליסט 16:0627.12.16

חוקרי בטיחות ברשת חשפו פרצת אבטחה שמאפשרת להאקרים לגנוב כרטיסים שלקוחות שילמו עבורם אונליין – כך לפי דיווחים בתקשורת הגרמנית.

 

מיליוני בני אדם נוהגים לרכוש כך כרטיסים, שכן מדובר בהליך פשוט למדי, שהופך לידידותי אף יותר בזכות קוד הזמנה בן שש ספרות שמאפשר ללקוחות לבצע צ'ק־אין מקוון, לבחור מושבים, להוסיף מכונית להשכרה לחבילה שלהם או אפילו לשנות את מועדי הטיסה. אף כי הקודים הללו מסייעים להקל על נוסעים, הם גם משמשים כפרצות בטיחות שאותן מנצלים האקרים – כך לפי העיתון "סודויטשה צייטנוג" ורשת WDR, שחשפו עד כמה קל להאקרים לזכות בגישה לקודים הללו, לשנות את המידע של הלקוח ולגנוב טיסה בחינם.

 

קרסטן נוהל, מייסד ומנהל סקיוריטי רסרץ' לאבז, הדגים בפני עיתונאים מ"סודויטשה" ו־WDR איך בדיוק ההליך עובד, זאת על ידי גניבת כרטיסי הטיסה של העיתונאים עצמם.

 

כמה פשוט - משנים את הקוד וטסים בחינם כמה פשוט - משנים את הקוד וטסים בחינם צילום: שאטרסטוק

 

תוכנות מחשב מסוגלות לבצע חיפוש אחר הקודים תוך דקות. האקרים משתמשים בקודים כדי להגיע להזמנה של הלקוח ולשנות את מועדי הטיסה ואת כתובת האימייל. הליך הצ'ק־אין המקוון באיחוד האירופי מקל גם הוא על ההאקרים, שכן על פי רוב אין נדרשים הנוסעים ביבשת להציג דרכונים. "כל אחד יכול לעשות זאת", אמר נול. "גם מי שאינו האקר מקצועי יכול לגנוב טיסה בחינם. למערכות הללו אין את רכיב הבטיחות שאנחנו מכירים בכל שאר מערכות המחשב: הססמא", ציין.

 

כאשר נוסע מבצע הזמנה מקוונת, המערכת אינה דורשת ססמא כדי לשנות פרטים, אלא מזהים אותו על פי קוד ההזמנה ושמם. בנוסף, המערכות באמצעותם מזמינים טיסות, מלונות ומכוניות להשכרה מחוברות לסוכנויות תיירות, אתרי הזמנה מקוונים, חברות תעופה והנוסעים עצמם, כך שהם מאחסנים כמות אדירה של מידע על טיסות והזמנות ומנהלות מעל 90% מההיקף הכולל של הזמנת הטיסות והשירותים הנלווים.

 

אמדיאוס, אחת ממערכות הזמנת הנסיעות הגדולות ביותר, משמשת חברות תעופה כמו אייר ברלין ולופטהנזה ושירתה כ־747 מיליון נוסעים ב־2015. כאשר נתבקשה החברה להגיב לדיווחים על פרצות הבטיחות, דובר החברה אמר ל־WDR כי "חלון הזדמנויות זמני" אפשר להאקרים לחדור בזריזות לעשרות קודים. נול ועמיתיו, עם זאת, דיווחו כי הצליחו לנסות "מיליוני צירופים במהלך מספר שבועות".

 

 

בטל שלח
    לכל התגובות
    x