Fluggesellschaften, Reiseveranstalter, Webseiten zum Preisvergleich, und viele andere Dienste arbeiten zusammen, um Reisenden einfache Buchungsm\u00f6glichkeiten anzubieten. Die Branche nutzt Global Distribution Systems<\/a> (GDS), um verf\u00fcgbare Fl\u00fcge zu pr\u00fcfen, sicherzustellen, dass Sitze nicht doppelt gebucht wurden, usw. GDSs sind mit Webdiensten eng verbunden \u2013 aber nicht mit den besten Online-Schutzpraktiken. Dadurch ist die aktuelle GDS-Technologie bez\u00fcglich Schutz veraltet und bietet Kriminellen eine riesige Angriffsfl\u00e4che.<\/p>\n Obwohl es zurzeit um die 20 GDS-Anbieter gibt, konzentrierte sich das Sicherheitsduo Nohl und Nikodijevic auf diese drei Hauptsysteme: Sabre (1960 gegr\u00fcndet), Amadeus (1987 gegr\u00fcndet) und Galileo (jetzt Teil von Travelport). Diese Systeme verwalten<\/a> mehr als 90 % der Flugreservierungen, sowie von Hotel-, Fahrzeug- und Reisebuchungen.<\/p>\n So arbeiteten Lufthansa und AirBerlin mit Amadeus und mit dem Reiseveranstalter Expedia. American Airlines und die russische Fluggesellschaft \u0410eroflot setzten auf Sabre. Jedoch ist es schwer zu bestimmen, welches GDS die pers\u00f6nlichen Daten eines bestimmten Passagiers speichert: Wenn Sie z.\u00a0B. ein Flugticket mit American Airlines \u00fcber Expedia buchen, zeichnen Amadeus und Sabre den Kauf auf.<\/p>\n Abh\u00e4ngig von den Regeln des Buchungssystems enthalten GDS-Datens\u00e4tze normalerweise Namen und Telefonnummer des Passagiers, sowie seine Ticketnummer, Abflugs- und Ankunftsflughafen, und Datum und Zeit des Flugs. Es beinhaltet auch Zahlungsinformationen (wie Kreditkartennummern). Anders gesagt: recht vertrauliche Informationen.<\/p>\n Nohl und Nikodijevic wiesen darauf hin, dass viele auf diese Daten Zugriff h\u00e4tten, einschlie\u00dflich Besch\u00e4ftigte von Fluggesellschaften, Reiseveranstalter, Hotelvertreter, usw. Forscher gehen davon aus, dass diese Daten auch von Regierungsstellen gelesen werden k\u00f6nnen. Aber das ist nur die Spitze des Eisbergs.<\/p>\n Um auf diese Informationen zuzugreifen und sie zu \u00e4ndern, verwenden GDSs den Namen des Reisenden als Login und einen sechsstelligen Buchungscode (die meisten Reisenden kennen ihn als einen PNR<\/a>) als Passwort<\/strong>. Ja, das ist der PNR, der sichtbar auf Bordkarten und Gep\u00e4ckanh\u00e4ngern gedruckt ist. Als Passwort.<\/p>\n \u201eWenn der PNR ein sicheres Passwort sein soll, dann muss er auch als solches behandelt werden\u201c, so Nohl auf der Konferenz. \u201eAber man macht aus ihm kein Geheimnis: Er ist auf jedem Gep\u00e4ckst\u00fcck zu sehen. Er wurde zuvor auf Bordkarten gedruckt, bis er verschwand und durch einen Strichcode ersetzt wurde.\u201c Dieser Strichcode enth\u00e4lt \u00fcbrigens noch immer den PNR.<\/p>\n Die Mehrheit der Reisenden versteht die inneren Abl\u00e4ufe der Flugbranche nicht, also ver\u00f6ffentlichen sie online eifrig ihre Tickets zusammen mit PNR, verschl\u00fcsselt in einem Strichcode. Jedoch ist ein Strichcode kein Mysterium<\/a>; er kann durch spezielle Software gelesen werden. Also kann jeder<\/em>, der ein Foto von Ihrem Kofferanh\u00e4nger auf einem Flughafen macht oder Ihr Ticket online gefunden hat, auf Ihre pers\u00f6nlichen Daten zugreifen. Man muss kein Hacker sein, um PNR-Schwachstellen auszunutzen \u2014 man muss nur wissen, wo man nachschauen muss. In dem Video unten k\u00f6nnen Sie sehen, wie Nohl und Nikodijevic den Strichcode von einem Instagram-Foto eines Flugtickets entschl\u00fcsselten.<\/p>\n![\"People](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2017\/01\/06134607\/airplanetickets-on-instagram-594x1024.jpg\")
<\/a><\/p>\n