IT turvalisuse uurijad on leidnud lennupiletite veebipõhises müügikeskkonnas turvamata augu, mille kaudu saavad häkkerid varastada ära nende inimeste lennupiletid, kes on endale juba pileti ostnud ja selle eest interneti kaudu ka tasunud.
Turvaaugud võimaldavad häkkeritel e-lennupileteid varastada
Selline avastamata murekoht on põhjustanud palju probleeme nii reisijatele kui lennufirmadele, vahendas Dw Saksamaa meediat.
Miljonid inimesed ostavad lennupiletid just veebi kaudu, sest hiljem on nii lihtsam ka pilet lennule registreerida (check-in), valida istekoht, tellida rendiauto ning muuta kasvõi lennuaega. Seda kõike kuuekohalise numbrikoodiga, mis veebist broneeringut tehes antakse.
Kuigi see sama kood võib ühtpidi vähendada reisimisega seotud stressi, on see ka turvamata koht, mille kaudu saavad häkkerid pileti endale varastada. Varastatud piletil on lihtne muuta kliendi andmeid ning sedakaudu lennupilet kellegi teise meilile saata.
Lihtne ja illegaalne
Turvaaugu leidja näitas Saksamaa reporteri peal koheselt, kui lihtne tema e-piletit on varastada. Arvutil pole mingit probleemi kuuekohalist koodi kindlaks teha, selleks kulub vaid mõni minut. Piletile ligi pääsedes on võimalik muuta nii meiliaadress kui ka väljumise kellaaeg.
Kuna paljud e-piletite kasutajad lendavad viisavabas ruumis, siis ei pea tõenäoliselt piiri ületades ka passi näitama, et see lennupiletil oleva nimega klapiks. Isegi need inimesed, kes pole häkkimise maailmaga varem kokku puutunu, saaksid tasuta lennu varastamisega hakkama, arvas turvaaugu leidja.
Broneerimissüsteemidel on puudu see, mida me teame igalt poolt mujalt – salasõna. Lennufirmad ei küsi reisijatelt mitte üheski andmete muutmise etapis parooli. Enda tuvastamiseks läheb vaja vaid nime ja broneeringunumbrit.
Selline probleem seab riski ka inimeste teistele isikuandmetele. Murekohta aitaks leevendada see, kui kõik lennufirmad võtaksid kasutusele ka muudetavad salasõnad.