Boardingpass hack gir loungetilgang

[LN-MOW]

Dette forbauser meg - men det kan da ikke være verre enn å sette opp verifikasjon mot flyselskapets sjekkinnsystem ... Ser ut som noen har kjørt en billigløsning for loungetilgang.

https://www.wired.com/2016/08/fake-boarding-pass-app-gets-hacker-fancy-airline-lounges/

As the head of Poland’s Computer Emergency Response Team, Przemek Jaroszewski flies 50 to 80 times a year, and so has become something of a connoisseur of airlines’ premium status lounges. (He’s a particular fan of the Turkish Airlines lounge in Istanbul, complete with a cinema, putting green, Turkish bakery and free massages.) So when his gold status was mistakenly rejected last year by an automated boarding pass reader at a lounge in his home airport in Warsaw, he applied his hacker skills to make sure he’d never be locked out of an airline lounge again.

 

[Utenbys]

Vil jo anta at her er store forskjeller fra ett flyselskap/lounge-serviceprovider til det neste. Men ettersom loungeoperatør skal intern/ekstern-fakturere for antall besøkende så virker det litt sløvt at det ikke er en verifikasjon på at navn i QR-koden faktisk er booket på nevnte flight. Antar uansett at dette kommer i neste versjon av software i slusene på CIP-lounger.
Ble nysgjerrig på hvilken feil som gjorde at han ble feilaktig avvist ved en anledning.

 

[gustavf]

Dette forbauser meg - men det kan da ikke være verre enn å sette opp verifikasjon mot flyselskapets sjekkinnsystem ...

Fordi disse systemene er komplekse, vanskelige å integrere mot og var moderne en gang i juratiden. Kombinert med at flybransjen har en tradisjon for å lage løsninger der strekkoder anses som sikre og umulige å kopiere eller forfalske.

 

[gustavf]

For eksempel Lufthansa, der strekkoden fra et boardingkort ga adgang til å logge inn på nettsidene:
http://krebsonsecurity.com/2015/10/whats-in-a-boarding-pass-barcode-a-lot/