Flugtickets online buchen: Sicherheitslücke entdeckt – Umbuchung durch Hacker möglich
Bestimmten „Buchungssystemen fehlt ein Sicherheitsmerkmal, das wir aus allen anderen Computersystemen kennen, und zwar das Passwort“, so Nohl. Denn wer über solch ein System ein Flugticket gebucht hat, bekommt anschließend kein Passwort, sondern einen sechsstelligen Buchungscode. Möchte der Reisende zu einem späteren Zeitpunkt etwas an der Buchung ändern, braucht er dafür seinen Namen und diesen Code, eine Zahlen- und Buchstabenkombination.
Sicherheitslücke: Welches Buchungssystem ist betroffen?
Laut „SZ“ können „moderne Rechner“ dazu verwendet werden, die sechsstellige Kombination „binnen Minuten“ zu erraten. Eines der meist genutzten Onlinebuchungssysteme für Flugtickets in Europa heißt „Amadeus“, und eben dieses soll nicht sicher sein.
Karsten Nohl sagt, er habe Amadeus mehrere Wochen analysiert: Täglich würden ein bis zwei Millionen Buchungscodes für Flugreisende durch das System vergeben. „Und wir wissen fast genau, welche Nummern das sind, weil sie fortlaufend vergeben werden.“
Für einen Hacker-Angriff, mit dem das Sicherheitsrisiko getestet werden kann, benötigten die IT-Sicherheitsforscher von SR Labs nach eigenen Angaben zwei Informationsbausteine: zum einen den Namen der Person, von der das Ticket
genommen und auf einen anderen Namen umgebucht werden soll, und zum anderen den Zeitraum der Buchung.
Sicherheitslücke bei Flugticketbuchung: Was tun?
Der Verbraucher habe wenig Einfluss, zu einer Lösung dieses Problems beizutragen – es liege bei Amadeus. „Das ist ein industrieweites Problem“, meint Nohl. Eine Lösung könne es nur dann geben, wenn alle Anbieter massenhafte Anfragen (die von einem oder mehreren Computern gesendet werden) blockieren.