全球分销系统如此不安全,或许重写才是唯一方案
GDS(全球分销系统)是应用于民用航空及旅游业的大型计算机信息服务系统。它向旅游机构与旅行者提供及时、准确、全面的信息服务。但是,这项起源于 60 年代的技术已经无法满足现代社会的安全需求了。根据安全研究人员的说法,由于 GDS 缺乏现代的安全措施, 加上与之连接的站点和服务也不可靠,黑客可以轻易获取个人信息,盗取飞行里程。
今年,在汉堡的黑客大会 Chaos Communication Congress(混乱通信大会)上,安全研究员 Karsten Nohl 和 Nemanja Nikodijevic 展示了 GDS 的诸多问题,特别是其中的 PNR 系统(PNR:旅客订座记录)的漏洞。
(图片来自卫报 )
在确定旅客预定信息时,航空公司使用了两项信息:六个字母组成的 PNR,以及用户的姓。“ PNR 应该是个安全的密码,但事实却并非如此,” Nohl 对卫报说,“他们并不将其当做秘密。它被打印在所有的行李上。以前,它还被打印在登机牌上,后来,它又变成了二维码。”
问题是,二维码很容易被各种 App 读取。如果旅行者在网上发布图片的话,他们的信息很有可能被盗取。“它应该是确认用户的唯一方式,” Nohl 说,“但是,它被印在一张旅途结束即被抛弃的纸上。”
另一个问题是,六个字母的代码很容易被猜到。在生成 PNR 的时候,不同服务商采用了不同系统,但是,这些系统都存在一些问题。比如,某些服务商按照顺序生成前两个字母,结果就是,一天里生成的 PNR 都以相同字母开始,另一些服务商会保留一些代码,降低了黑客们猜测的难度。
(图片来自 mvminfotech)
研究人员表示,PNR 漏洞只是 GDS 系统的表层问题。除此之外,在何人接触数据、为何获取数据上,GDS 缺乏良好的日志记录,而且,存取控制几乎是不存在的,任何参与预订业务的人都能够看到全部数据。
或许,解决问题的根本方法就是重写系统。航空公司可能没有意愿那么做,但日益增多的网络犯罪会成为一种驱动力。“航空公司有时候注意到这些问题,但仅在出现严重问题时,” Nohl 说,“我希望,问题变得非常严重,以至于它不可能被忽视了。那时,安全问题就能得到解决,而且隐私问题也能得到解决。如果只讨论隐私问题,那肯定是不行的。”
(图片来自 frequentguide)