Betrug mit Buchungscodes So leicht sind Reisebuchungen zu hacken
Erstaunlich einfach, sich Zugriff auf Passagier- und Kundendaten zu verschaffen.
Berlin Wie sicher ist wohl ein sechsstelliges Passwort, das Groß- und Kleinschreibung nicht unterscheidet, keine Sonderzeichen zulässt und bestimmte Buchstaben-Zahlen-Kombinationen wegen Verwechslungsgefahr nicht erlaubt?
Es ist jedenfalls nicht sicher genug, um eine riesige Datenbank mit Millionen von Kundendaten aus aller Welt wirksam zu schützen. Doch genau das versucht Amadeus. Das Unternehmen vertreibt ein gleichnamiges Buchungssystem, das vor fast 30 Jahren von den Fluggesellschaften Lufthansa, Iberia, Air France und SAS in Auftrag gegeben wurde.
Dieses System ist eine Art Sammelstelle, an die auch Hotels, Kreuzfahrt- und Eisenbahngesellschaften, Reisebüros und weitere Buchungssysteme angeschlossen sind. Und es ist erstaunlich einfach, sich Zugriff auf die darin gespeicherten Passagier- und Kundendaten zu verschaffen, sagt Karsten Nohl.
Die Forscher seiner Security Research Labs in Berlin haben herausgefunden, wie sie Daten von Passagieren einsehen und zum Teil auch verändern können. Und wie Kriminelle auf gleichem Wege Menschen und Unternehmen überwachen, verfolgen, erpressen und betrügen könnten. Der sechsstellige Buchungscode, der für jede Buchung vergeben wird, die über Amadeus läuft, ist dabei eine von mehreren Schwachstellen.
Websites, die kein Reisender braucht
Eine zweite ist, dass Amadeus – wie auch die anderen großen Buchungssysteme Sabre und Galileo – öffentliche Zugänge zu ihren Datenbestand anbieten, in Form einer Website. Die für Amadeus heißt checkmytrip und soll jedem Kunden ermöglichen, Buchungsdetails nachträglich einzusehen – obwohl das eigentlich unnötig ist. Schließlich stehen alle Angaben in der Bestätigungsmail, die man nach der Buchung ohnehin bekommt. Alles, was man braucht, um Daten einzusehen, sind der Nachname und der Buchungscode, der damit wie ein Passwort funktioniert. Wie ein schlechtes Passwort.
Nohls Mitarbeiter Nemanja Nikodijevic und Sebastian Götte haben herausgefunden, dass sich der Buchungscode von beliebigen Menschen berechnen lässt. Je genauer der Angreifer den Zeitraum der Buchung kennt, desto schneller geht das. Die Codes sind kurz, erlauben keine Sonderzeichen, kennen nur Großbuchstaben, bestimmte Kombinationen sind grundsätzlich ausgeschlossen.
„Außerdem werden sie sequenziell vergeben“, sagt Nohl. „Wenn man weiß, welche Codes heute Morgen vergeben wurden, kann man voraussagen, welche Codes am Nachmittag vergeben werden.“
Genau das tun Nikodijevic und Götte. Sie haben sich die Rechenkapazitäten von 20 Cloudcomputern bei Amazon gemietet und testen mithilfe eines selbst geschriebenen Skripts so viele Kombinationen aus einem bestimmten Nachnamen und verschiedenen Buchungsnummern auf checkmytrip.com, bis sie eine passende gefunden haben und auf die Buchungsdaten zugreifen können. Brute Force heißt so ein Angriff, weil er mit purer Rechengewalt durchgeführt wird.
