Tech

Hacker decken Sicherheitslücke in Buchungssystem auf—und besorgen sich Freiflug

Zwei SIcherheitsforscher führen vor, wie anfällig die weltweit genutzten Flugbuchungsverfahren sind—und wie sie ohne Problem die privaten Flugdaten eines CDU-Politikers einsehen und ändern konnten.
27.12.16

Gleich am ersten Tag des diesjährigen Chaos Computer Club-Kongresses wird eine Sicherheitslücke aufgedeckt, die Millionen von Internet-Usern betrifft: Wie zwei Hacker vorführen werden, sind die Buchungsysteme für Flugreisen anfällig für Betrug und Missbrauch. Den Sicherheitsforschern Karsten Nohl und Nemanja Nikodijevic gelang es, die Flugdaten von Reisenden einzusehen, gebuchte Flüge zu canceln oder einfach auf die eigenen Namen umzuschreiben. Das Problem basiert maßgeblich auf einer groben Schwäche der nach wie vor genutzten Online-Buchungssysteme: Um komfortabler Reisen zu können, ist es Kunden nämlich seit Jahren möglich, online Informationen über ihre gebuchten Flüge einzusehen—allerdings ohne sich dabei mit einem Passwort anmelden zu müssen.

Anzeige

Der Fall zeigt einmal mehr, dass es keine gute Idee ist, ein jahrzehntealtes System trotz der großen Veränderungen des Internets noch heute einzusetzen. Genau dies jedoch geschieht bei den von den Hackern getesteten Flugbuchungssystemen, die überall auf der Welt massenhaft genutzt wird—und eine einfache Lösung für das in Hamburg erstmals öffentlich präsentierte Problem ist nicht in Sicht. „Jedes mal, wenn du einen Flug buchst, landest du in einem oder mehreren dieser Systeme", erklärte der Berliner Sicherheitsforscher Karsten Nohl vor seinem Vortrag gegenüber Motherboard.

Nohl und Nikodijevic haben sich insbesondere mit sogenannten Global Distribution Systems (GDS) beschäftigt. Diese Netzwerke verarbeiten die Buchungen hinter den für reguläre Nutzer sichtbaren Reservierungsseiten. Sie werden auch von Reisebüros, großen Agenturen und Reisedienstleistern und Fluggesellschaften genutzt, um Reservierungen zu speichern und den Reisenden ihre Flügen zuzuordnen.

Wenn ein Kunde seinen Flug bezahlt, schicken Airline oder Reiseanbieter in der Regel einen sechsstelligen Buchungscode zur Bestätigung. Der Code soll es Reisenden eigentlich ermöglichen online, die Daten der Buchung zu prüfen oder zu ändern—Hacker können ihn allerdings auch nutzen, um ganz andere Dinge anzustellen, wie Nohl und Nikodijevic auf dem 33C3-Kongress zeigen werden.

Das Problem beginnt bereits damit, dass die in den Buchungssystemen verwendeten sechsstelligen Codes sehr einfach per Computer reproduziert werden können. Das führt dazu, dass auch ein Bot die GDS-Systeme automatisiert scannen kann, bis er auf einen tatsächlich von einem Reisenden genutzten Buchungscode stößt, dem er anschließend (zum Beispiel mit Hilfe von Namensdatenbanken oder auch wenn Hacker gezielt nach einem bestimmten Namen suchen) nur noch den korrekten Nachnamen des Reisenden zuordnen muss. Mehr als ein solcher Treffer ist nicht nötig, um auf private Buchungen zugreifen zu können.

Anzeige

Die Hacker können so auch Flüge auf sich selbst umschreiben und sich so illegal Freiflüge beschaffen, wie sie dem WDR und der Süddeutschen Zeitung vorführten. Da sich auch die E-Mailadresse der Reisenden ändern lässt, könnten Kriminelle dies auch so anstellen, dass der eigentliche Kunde bis zu seinem ursprünglichen Abflug nichts davon mitbekommt. Für besonders kompliziert hält Nohl den Angriff zumindest für all diejenigen, die über einfache Computerkenntnisse verfügen, nicht: „Das kriegt wirklich jeder hin", erklärte er gegenüber der SZ.

Laut Nohl unternehmen mehrere der etablierten Buchungssysteme nichts, um solche automatisierten Suchabfragen zu verhindern. Sie greifen auf keinerlei Rate Limiting-Verfahren zurück, was eigentlich dafür sorgen sollte, dass nur eine bestimmte Anzahl an Seitenabfragen pro Minute oder Sekunde möglich wäre. So konnten die Forscher in kurzer Zeit Millionen von möglichen Kombinationen von Buchungscodes und Nachnamen ausprobieren.

Hackern wird es sogar noch einfacher gemacht, wie Nohl und Nikodijevic feststellten: Die Buchungscodes beinhalten nur Großbuchstaben, keinerlei Sonderzeichen und keine Nullen und Einsen (um Verwechslungen mit den Buchstaben I oder O zu vermeiden). Des Weiteren werden die Codes in zwei der drei GDS-Systemen in einer aufsteigenden Reihenfolge vergeben, wie Nohl erklärte. Das führt dazu, dass Hacker einfacher vorhersagen können, welche Ziffernfolge zu welcher Tageszeit bzw. an welchem Wochentag mit höherer Wahrscheinlichkeit verwendet wird—das wiederum erhöht die Chance einen Treffer, in dem Code und Nachname zusammenpassen, zu landen. Die Buchungscodes können außerdem auch physisch abgelesen werden: Sie befinden sich auf dem Gepäck von Reisenden und auf ihrem Boarding-Pass—ein mögliches Risiko, auf das Sicherheitsforscher bereits in der Vergangenheit hingewiesen haben.

Dem WDR und der Süddeutschen Zeitung haben Nohl und Nikodijevic vorgeführt, was mit diesem Wissen und diesen Tricks alles möglich ist: So lässt sich beispielsweise ein Reisender mit Hilfe des Buchungshacks „tracken". Hacker können verfolgen, wann Menschen verreisen, von wo sie abfliegen und wo sie landen werden. Um ihr Können einzusetzen, änderten Nohl und Nikodijevic die Flugdaten eines Journalisten und „buchten" ihn auf den selben Flug wie einen deutschen Bundestagsabgeordneten. Ohne Problem konnten Nohl und Nikodijevic dem Journalisten auch einen Sitzplatz direkt neben dem Politiker zuweisen. Der CDU-Abgeordnete Thomas Jarzombek hatte dem Experiment zugestimmt, woraufhin sich die Sicherheitsforscher die Informationen über einen von ihm gebuchten Flug beschafften. Auch den Flug, des Abgeordneten von Düsseldorf nach Berlin, den sie schließlich im Buchungssystem fanden, hätten sie manipulieren können—nebenbei kennen sie dank des Hacks nun auch die Handynummer des Politikers. „Wir konnten ein paar Millionen Codes für diesen bestimmten Nachnamen ausprobieren und das war genug, um diesen Bundestagsabgeordneten [im System] zu finden", erklärte Nohl gegenüber Motherboard.

Für Kriminelle könnte ein Angriff auf GDS-Systeme auch aus finanziellen Gründen lukrativ sein. Hacker könnten zu teuren Überseeflügen nachträglich die Nummer eines eigenen Vielflieger-Accounts hinzufügen und die Meilen einstreichen. Oder sie könnten Flüge stornieren, um anschließend einen Coupon der Airline abzugreifen, den sie dann wiederum für die Buchung eigener Flüge nutzen, erklärte Nohl.

Nohl und Nikodijevic allerdings haben sich die Sicherheitslücke nicht für ihren eigenen Profit sondern als White Hat Hacker angeschaut und die Probleme bei den betroffenen Firmen und Anbietern gemeldet. Gegenüber Motherboard erklärte Nohl, dass mehrere Unternehmen Maßnahmen wie Rate Limiting ergreifen wollen, um es Hackern zu erschweren, die sechsstelligen Buchungscodes von Reisenden herauszufinden. Das grundsätzliche Problem allerdings bleibt: Jede Menge miteinander vernetzte Systeme, die in einer Zeit entwickelt wurden, in der der Siegeszug des Internets erst noch bevorstand.

„Obwohl wir das Problem gerade im Zuge von „Responsible Disclosure" den Firmen melden, ist ein insgesamt besseres System kaum in Sicht", bilanziert Nohl am Ende des Telefoninterviews mit Motherboard.