33C3: Gravierende SicherheitslĂĽcken bei Reisebuchungssystemen
Wer einen Flug umbuchen oder sich Meilen dafür gutschreiben lassen will, braucht dafür nur einen sechsstelligen Code und den zugehörigen Namen, nicht einmal ein Passwort. Das gesamte zugehörige System ist äußerst anfällig für Manipulationen.
Die globalen Buchungssysteme für Flüge, über die traditionelle Reisebüros, Online-Vermarkter und einzelne Fluglinien ihre Ticket- und Reservierungsdienste abwickeln, lassen sich auf einfachste Art missbrauchen. "Dafür ist nicht viel Hacking erforderlich", erklärte der Berliner Sicherheitsforscher Karsten Nohl am Dienstag auf dem 33. Chaos Communication Congress (33C3) in Hamburg. Die umfassenden, längst online operierenden Datenbanken seien sehr weit entfernt selbst von Sicherheitsstandards der Vor-Internetzeit. Dies sei unerhört im Vergleich zu allen anderen Cloud-Diensten.
Datenbanktechnik aus den 70ern
Die großen einschlägigen Anbieter sind Amadeus mit Schwerpunkt Europa, das vor allem in den USA starke System Sabre sowie die auf Reisebüros zugeschnittene Travelport-Lösung von Galileo. In den Händen dieser drei Konzerne befänden sich fast alle weltweiten Informationen über Flugreisen, konstatierte Nohl. Die von ihnen eingesetzte Datenbanktechnik sei "sehr alt", gehe teils zurück bis in die 1970er. Enthalten seien darin im Kern Informationen rund um Tarife und aktuelle Preise sowie zu deren Verfügbarkeit und zu Reservierungen.
Basismaßnahmen zur IT-Sicherheit sucht man bei diesen sogenannten globalen Distributionssystemen laut dem Gründer der Firma Security Research Labs vergebens. Wollten sich professionelle Kunden wie Mitarbeiter in Reisebüros dort anmelden, bräuchten sie für lokal verfügbare Zugangslösungen nur Kennungen, die aus einer Nummer und schrecklich schlechten Passwörtern bestünden. Die beste Variante, die er und sein Team gefunden hätten, bestehe aus den Buchstaben WS für Webservice und dem Datum, an dem das Authentisierungsmerkmal kreiert worden sei.
Zugriff ĂĽber Buchungscode und Nachname
Für den Reisenden reicht sogar der sechsstellige, aus Zahlen und Großbuchstaben bestehende Buchungscode und in der Regel der Nachname aus, um auf Online-Dienste zuzugreifen, die auf den im Hintergrund arbeitenden Systemen basieren. Beide Angaben finden sich auf jedem Papieretikett zur Kennzeichnung von Gepäckstücken oder aufgedruckt auf Boarding-Pässen. Dort seien sie mittlerweile meist in Barcodes integriert, führte Nohl aus. Ständig neue Bilder davon fänden sich täglich auf Instagram, da Nutzer sie gern für ihre Nabelschau posteten.
Was die meisten User nicht ahnen dürften: Ein Bildschirmfoto eines solchen Codes lässt sich im Handumdrehen in eine kostenlos verfügbare Online-Lesesoftware hochladen und analysieren. Binnen weniger Sekunden spucken derlei Dienste den begehrten Buchungscode aus. Nohl führte dies auf dem Kongress anhand eines von Lufthansa ausgestellten, in dem sozialen Netzwerk gefundenen Boarding-Pass vor. Mit der ermittelten Zeichenfolge konnte er sich zusammen mit dem zugehörigen Namen des Inhabers in das Reservierungssystem der Fluglinie einloggen und die entsprechenden Reisedaten von München über Frankfurt nach Seattle zusammen mit zahlreichen persönlichen Informationen wie Post- und E-Mail-Adresse sowie Pass- oder Visanummern auslesen.
Hohes Missbrauchpotenzial
Das Missbrauchspotenzial gehe weit über den Datenschutz hinaus, erläuterte der Experte. So ließen sich bei einem flexiblen Ticket die Flugdaten und die E-Mail ändern und damit ein Freiflug herausschlagen. Da Ausweise innerhalb des Schengenraums häufig nicht überprüft würden, sei es denkbar einfach möglich, einen vorverlegten Flug in Anspruch zu nehmen. Zudem könne man seine eigene Meilennummer ergänzen, was sich etwa bei einer Hin- und Rückreise nach Australien durchaus lohne.
Einzelne Fluglinien wie American Airlines fragen laut Nohl zusätzlich den Vornamen des Reisenden ab. Aus Webseiten wie ViewTrip könne man aber vergleichsweise einfach die einschlägigen Passenger Name Records (PNR) einschließlich Nachnamen herauskitzeln. Der Dienst Tripcase verrate anhand dieser Informationen auch den gesuchten Vornamen. Das Portal Checkmytrip, über die sich Flugdetails bislang zentral ohne zusätzliche Sicherungselemente verwalten ließen, ging parallel zu dem Hackervortrag in den Wartungsmodus über, ist aber inzwischen wieder erreichbar.
Buchungscodes lassen sich auch vergleichsweise einfach ĂĽber "Brute Force"-Attacken mithilfe ein wenig maschineller Rechenkraft durchprobieren und ermitteln. Nohls Kollege Nemanja Nikodijevic demonstrierte dies anhand der Webauftritte von Ryanair, Oman Air und Pakistan International Airlines (PIA), bei denen im schwersten Fall schier endlose Suchen ĂĽber die letzten vier Ziffern einer eingesetzten Kreditkartennummer gestattet wurden.
Kaum SicherheitsmaĂźnahmen
Effektive Hürden für derlei Angriffe böten die ganzen einschlägigen Webseiten nicht, wusste Nohl. Amadeus habe nach ersten Berichten über die Lücken eine zusätzliche Captcha-Abfrage eingeführt, um maschinelle Eingaben zu beschränken. Dazu gekommen sei aber ein Cookie, das erneut für unzählige Anfragen habe verwendet werden können. Mittlerweile würden auch IP-Adressen als Begrenzungsmerkmal herangezogen. Lufthansa und Air Berlin setzten inzwischen teils auf IP-Filter sowie Captcha-Verfahren.
Sonst gängige Logverfahren haben die Airlines dem Fachmann zufolge nicht in Betrieb. So sollten offenbar Beweise dafür vermieden werden, dass man großzügigerweise und möglicherweise rechtswidrig Sicherheitsbehörden und anderen Regierungsstellen Zugang zu den PNR gegeben habe. So bleibe aber auch das Ausmaß des bereits praktizierten Missbrauchs anhand der Passagierdaten weitgehend im Dunkel. Er habe aber erfahren, dass zumindest Meilen immer wieder auf fremde Konten übertragen würden. Für den Hacker führt damit kein Weg daran vorbei, dass die in die Hunderte gehenden, mit Amadeus und Co. kooperierenden Firmen gemeinsam bei der Online-Sicherheit deutlich aufrüsten und kurzfristig zumindest die schwerwiegendsten Mängel beseitigen. (akr)