Betrug mit Buchungscodes
So leicht sind Reisebuchungen zu hacken

Stalking durch schlecht gesicherte Daten

Die Buchungsnummer lässt sich aber auch anders feststellen. Sie steckt im Barcode eines Tickets und auch im Barcode, der am Flughafen an jedem Gepäckstück befestigt ist. Ein Foto davon reicht, um den Barcode mithilfe einer Scannerapp auf dem Smartphone auszulesen. Seit Langem warnen Sicherheitsexperten davor, Fotos von Tickets auf Instagram oder andernorts im Netz zu veröffentlichen. Aber Nohls Mitarbeiter Nemanja Nikodijevic findet noch heute innerhalb von Minuten ein Foto, das ein vorfreudiger Reisender von seinem Boardingpass gemacht hat. Eine halbe Minute später weiß Nikodijevic, wie der Reisende heißt, wie seine E-Mail-Adresse lautet, seine Telefonnummer, wann er wohin ab- und wann er zurückfliegt und überhaupt alles, was der Mann bei der Flugbuchung angegeben hat.

Dass die Buchungssysteme an sich schlecht gesichert sind, ist keine neue Erkenntnis. Der Reisejournalist und Bürgerrechtler Edward Hasbrouck, der zwischen 1991 und 2006 in Reisebüros arbeitete und diese bei der Vernetzung mit den Reisedatenbanken beriet, warnte bereits vor mehr als 14 Jahren davor, dass Buchungscodes als sechsstellige Passwörter schlechte Passwörter sind. Er bekam sogar einen Journalistenpreis von der American Travel Writers Foundation für seinen Artikel von damals und hatte den Betreiber des Sabre-Buchungssystems auf die Schwachstellen aufmerksam gemacht.

Zuletzt schrieb er im April auf der Website des Identity Projects, das sich für die Rechte von Reisenden stark macht, die Systeme seien bereits gehackt worden. Die Entwickler, Verkäufer und Nutzer der Buchungssysteme könnten also längst wissen, dass die Daten ihrer Kunden schlecht gesichert sind.

Auf Anfrage sagt Hasbrouck, er habe in seiner Zeit als Reisebüromitarbeiter Fälle von Stalking erlebt, die durch die schlecht gesicherten Daten möglich waren. Dass es auch schon größere Angriffe gab, hält er für wahrscheinlich, „denn Zugriffe auf die PNR-Daten werden nicht aufgezeichnet“. Nohl bestätigt, dass erst Änderungen, nicht das bloße Lesen, vermerkt werden.

Ob die Betreiber planen, etwas dagegen zu unternehmen, ist unklar. Die deutsche Pressestelle von Amadeus hat eine entsprechende E-Mail-Anfrage von Zeit online in der vergangenen Woche nicht beantwortet. Auf Anfrage des Rechercheverbundes hatte das Unternehmen mitgeteilt, es habe ein „temporäres Wartungsfenster“ gegeben, in denen die vielfachen Anfragen nicht blockiert worden seien.

Noch mehr Schaden kann ein Betrüger anrichten, wenn er den Amadeus-Zugang eines Reisebüros oder einer Fluglinie hat. Diese können alles einsehen und ändern, was über das Reisebüro respektive die ganze Fluglinie gebucht wurde, was auch Hotelübernachtungen und Mietwagen einschließen kann. Darüber werden Nohl und Nikodijevic am Dienstagabend auf dem 33. Chaos Communication Congress (33C3) in Hamburg sprechen.

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%