18 år gammel hacker påstår at han kan generere falske boardingkort for å fly gratis

[Hypern]

Hacking av flyselskapenes reservasjonssystemer

Er det noen i det hele tatt som har greid å komme seg inn på et reservasjonssystem (Amadeus feks) og utstedt en F eller C billett til seg selv uten å ha betalt en krone for det? Ryktes jo at de berømte Yangon billettene var et resultat av hacking fra Myanmar. Jeg vil jo tro at de systemene er en del sikrere enn vår kjære Javabaserte BankID. Bare spør av ren nysgjerrighet. Det ville jo vært litt rart om de var helt skjermet.

 

[LN-MOW]

Re: Hacking av flyselskapenes reservasjonssystemer

Det er nok langt enklere å få tak i et falsk eller stjålet kredittkortnummer ... du skal være rimelig inne i både programmering og transaksjoner for å få gjort noe inne i GDS'ene. Her snakker vi tung, gammel mainframe ...

 

[The Ticketor]

Re: Hacking av flyselskapenes reservasjonssystemer

Helt skjermet er dem neppe, det fins flere GDSer som går via den gode gamle interwebben. Men jeg har aldri hørt om noen tilfeller der noen har klart det. Fusk med billetter var langt mere utbredt når man hadde papirbilletter og faktisk kunne stjele stock og selge i lang tid før man ble oppdaget.

 

[Hypern]

Re: Hacking av flyselskapenes reservasjonssystemer

Helt skjermet er dem neppe, det fins flere GDSer som går via den gode gamle interwebben. Men jeg har aldri hørt om noen tilfeller der noen har klart det. Fusk med billetter var langt mere utbredt når man hadde papirbilletter og faktisk kunne stjele stock og selge i lang tid før man ble oppdaget.

Når man kjøper en billett på internett blir vel noe data kommunisert inn i GDSene via interweben vil jeg tro, dog kanskje etter mye "om og men" som gjør at det blir vanskelig å hente ut noe fra webinterfacet fra flyselskapenes nettsider.

 

[gustavf]

Hacking av flyselskapenes reservasjonssystemer

Det er nok langt enklere å få tak i et falsk eller stjålet kredittkortnummer ... du skal være rimelig inne i både programmering og transaksjoner for å få gjort noe inne i GDS'ene. Her snakker vi tung, gammel mainframe ...

Tunge og vanskelige systemer er oftere et sikkerhetsproblem enn en fordel. Det et ikke bare good guys som sitter med sær ekspertise.

 

[LN-MOW]

Re: Hacking av flyselskapenes reservasjonssystemer

Sant nok, men man velger ofte minste motstands vei likevel. Det at betalingssystemer, billettdatabaser og selve reservasjonssystemene som regel er separate, er det dessuten veldig tungvint selv for en hacker med svært dyp kompetanse å skape en gyldig reise.

 

[robertaas]

Re: Hacking av flyselskapenes reservasjonssystemer

Noen påstår man ikke trenger legge bestillingen inn i reservasjonssystemet for å kunne fly:
http://www.digi.no/928102/hacker-18-hevder-han-kan-fly-gratis

 

[LN-MOW]

Re: Hacking av flyselskapenes reservasjonssystemer

Det er bare tull. Alle som går ombord verifiseres og logges i innsjekkingssystemet, enten via lokal applikasjon eller direkte mot databasen.

 

[Superhai]

Re: Hacking av flyselskapenes reservasjonssystemer

Noen påstår man ikke trenger legge bestillingen inn i reservasjonssystemet for å kunne fly:

Som MOW sier, det er tull. Han kan helt sikkert lage falske boarding pass for å passere security og andre som ikke er direkte koblet til flyselskapenes systemer, men alle systemene som jeg kjenner til for boarding så matches informasjonen direkte med de som er innsjekket. Det er for øvrig ingen hemmelighet hvordan strekkoden (PDF417 eller Aztec) normalt er bygget opp - det er en standard som IATA har publisert, og den følger de fleste flyselskaper. Det er en sjanse for at man kan boarde feil person, men da vil man på et senere tidspunkt få en passasjer som da "allerede er ombord". Her kan selvfølgelig feil skje om ansvarlig i gaten ikke følger opp.

 

[The Ticketor]

Re: Hacking av flyselskapenes reservasjonssystemer

For å ta det han sier om første klasse: Selv om det skulle funke, og noen grunner til hvorfor det neppe gjør det er beskrevet ovenfor, så ender han neppe opp i "valgfritt sete på første klasse." Både crew og bakkemannskap vet selvfølgelig hvor mange pax det skal være der, det handler jo om et meget begrenset antall seter. Crewet får overlevert en Passenger Information List, eller har info elektronisk, om hvor mange pax det er i hver klasse, hvilke seter dem sitter i og hvilke seter som er ledige, og en del annen info. Denne listen vil vedkommende skurk ikke stå på. Det finnes også andre ting som ville ha avslørt vedkommende på forskjellige punkt under reisen, enten på bakken eller i luften.

 

[Utflyttet]

Re: Hacking av flyselskapenes reservasjonssystemer

Som flere har påpekt så er det nok i dag enklere å få tak i falske kredittkort og tilsvarende betalingsmetoder enn å hacke GSD'ene.

Det som derimot skal være sagt, er at gamle system som ikke har levd med generel kontakt med offentligheten er som oftest de som har flest stygge hull som kan muligens finnes.

Slik ting er i dag hvor mange har web-grensesnitt for å bestille billetter så er mye av saniteringen av input og output. Men kommer man først igjennom er det mye artig; jeg oppdaget selv for noen år siden hvordan man kunne ved hjelp av en åpent offentlig tilgjengelig portal se tastetrykk som andre gjorde, kredittkort, og alt annet i, i klartekst i sin helhet. Det som skremte er hvor vanskelig det er å overbevise kundeservice på relevante kontaktpunkt å forstå hva man har funnet og hvem man må komme i kontakt med for å rette ting.

Så kort summert: ja, det kommer nok til å bli funnet slike hull, og det skal bli spennende å se hvordan de håndteres. Men sånn pr i dag er det nok enklere å få tak i falske kort.

-A