Schon wieder gravierende Sicherheitslücke bei Amadeus

Panorama TOP News

Die Nr. 1 unter den GDS (Global Distribution System) hat schon wieder dicke Probleme mit dem Thema Sicherheit. Eine gravierende Schwachstelle im Buchungssystem der Spanier, die einen Marktanteil von 44 % haben, sorgt dafür, dass Experten Passagierinformationen verändern können. Rein theoretisch aber auch praktisch könnten davon zig Millionen Flugpassagiere betroffen sein.

Schon wieder: Amadeus fällt erneut durch eine gravierende Sicherheitslücke negativ unte den GDS auf. Foto: flickr.com

Schon wieder: Amadeus fällt erneut durch eine gravierende Sicherheitslücke negativ unte den GDS auf. Foto: flickr.com

Das Buchungssystem von Amadeus nutzen 141 Fluggesellschaften. Aber diese Kunden sind bei Amadeus nicht unbedingt gut aufgehoben, und deren Kunden wiederum, die zahlenden Fluggäste ebenso wenig. Denn nicht zum ersten Mal kann man bei Amadeus Buchungen manipulieren. Das haben der israelische Computerspezialist Noam Rotem und die Sicherheitsexperten von Safety Detective entdeckt. Auf die Sicherheitslücke wurden die Experten aufmerksam, als sie einen Flug bei der israelischen Fluggesellschaft El Al buchen wollten. Sie erhielten eine unverschlüsselt versandte E-Mail mit einem Link, um ihre Passagierdaten zu überprüfen. Die entsprechende URL lautete: https://fly.elal.co.il/hier-stehen-dann-viele-Zahlen.

Den Experten gelang es, sich durch eine simple Anpassung eines Feldes im Code der Webseite die Namen und die Flugnummer anderer Passagiere zu erhalten. So bekam er Zugriff auf deren Konten im El-Al-Kundenportal. Danach konnten sie deren Meilen transferieren, Mahlzeiten und Upgrades kaufen und sogar die hinterlegten Telefon- und E-Mail-Daten ändern. Im Grunde genommen kann sich jeder, der sich nur ein bisschen auskennt, Zugang zu allen möglichen Buchungen von Passagieren verschaffen und kann private Informationen von Flugbuchungen lesen und verändern, und das bei den namhaftesten 144 Airlines dieser Welt.

Bei Amadeus sind sie offensichtlich nicht in der Lage, die Daten der Kunden vernünftig zu schützen. Erst im Dezember 2016 zeigten die Experten vom Security Research Lab in Berlin auf, wie man bei Amadeus aber auch bei Sabre und Travelport mit geringem Aufwand Buchungen manipulieren kann. Wegen der unzulänglichen Schutzmaßnahmen war zum Beispiel auch möglich, sich Bonusmeilen von Passagieren anzueignen und damit kostenlos durch die Welt zu fliegen.

All das zeigt auch, warum man als Passagier niemals seine Bordkarte in den Sozialen Medien posten sollte, denn: Der Buchungscode erlaubt es, zahlreiche Änderungen vorzunehmen. Und mit einer simplen App lässt sich der Barcode einlesen, mit dessen Informationen Kriminelle noch viel mehr anstellen könnten. Quelle: https://www.safetydetective.com/blog/major-security-breach-discovered-affecting-nearly-half-of-all-airline-travelers-worldwide/ / DMM