Комментарии 25
Если это действительно работает, то где пострадавшие и вой в прессе?
все таки не понял, как можно перевести себе чужие мили.
вот я когда бронирую билет через аэрофлот то ввожу номер своей карты лояльности, на нее потом начисляются мили. При этом, они начисляются только если летел именно я, если я бронирую и оплачиваю билет кому-то, то мили мне не придут
вот я когда бронирую билет через аэрофлот то ввожу номер своей карты лояльности, на нее потом начисляются мили. При этом, они начисляются только если летел именно я, если я бронирую и оплачиваю билет кому-то, то мили мне не придут
Таким образом, вырисовывается общий сценарий. Выбираем стандартные фамилии, брутфорсим PNR, находим подходящие билеты. Если авиакомпания допускает пассажиров по билетам без проверки паспорта, то меняем дату и адрес электронной почты — и летим куда надо. Если документы проверяются, то возвращаем билет, получаем бонусы, с их помощью покупает новый билет на своё имя — и летим бесплатно.
Что за бред?!
Какие бонусы за возврат?!
Улететь без паспорта можно, ну в очень немногих аэропортах в Европе, но делать это по ворованному билету верх идиотизма.
А еще как все этой успеть сделать, когда видишь фотку в инстаграмме человека, который уже прошел досмотр и сидит в чистой зоне за 40 минут до посадки?
Так это как бы "общий" сценарий. очевидно, что реальные практичные схемы живут не долго и не так просты. В общем-то, дело не в том, что этот "общий сценарий" может и неработать, а в том, что, очевидно, с безопасностью в отрасли беда, а деньги крутятся и маркетинг постоянно что-то изобретает.
Короче, нам, прпограммистам, айтишникам, специалистам по безопасности это сигнал, что в индустрии явно недостаёт адекватных кадров и можно туда копать. А считать это лайфахом "как слетать нахаляву" или "как нагреть пару бедолаг на $20 с небольшой вероятностью загреметь через отдел К" я бы не стал. Профессионалы своего "дела" уже давно получают какую-то выгоду с уязвимостей и помалкивают, а такая презентация отправит на амбразуры с десяток скрипт-кидди ну и поднимет некоторый хайп вокруг темы, что, конечно же, хорошо для добропорядочных гроаждан.
Единственно что я вижу в этом, отменить билет (деньги вернутся покупателю на карту), и испортить ему поездку.
Только вернутся не все деньги, а процентов 10 от стоимости. Однажды купил билеты у Delta, но выбрал по-ошибке не тот месяц. Сразу же им позвонил, сказали, что поменять дату бесплатно нельзя. На вопрос об отмене билета сказали, что вернут ничножно малую часть от цены билета. Пришлось менять дату, заплатил дополнительно $200 за это. Так что отменив билет можно нехило испортить отпуск кому-то.
Можно узнать, куда летит жертва, с точностью до гостиницы.
Можно узнать личность пользователя.
Можно узнать, на какой машине он едет.
Можно узнать номер карты и срок действия.
Что делать с такой информацией — решать вам.
Можно узнать личность пользователя.
Можно узнать, на какой машине он едет.
Можно узнать номер карты и срок действия.
Что делать с такой информацией — решать вам.
Что-то я не уловил, как по номеру бронирования и фамилии узнать:
Уточните, будьте любезны.
Можно узнать, куда летит жертва, с точностью до гостиницы.
Можно узнать, на какой машине он едет.
Можно узнать номер карты и срок действия.
Уточните, будьте любезны.
Что мы можем получить, зная идентификатор PNR (шесть символов) и фамилию? Мы можем получить информацию о личности пользователя, возможно, ещё информацию о гостинице, в которой у него забронирован номер, и об аренде автомобиля. Плюс информацию о бонусных милях и других поощрениях авиакомпании для постоянных клиентов (frequent flyer). Контактную информацию: телефон, адрес электронной почты, часто почтовый адрес. Часто в GDS доступны паспортные данные, в том числе дата рождения.
Хакеры с доступом к GDS также видят платёжную информацию — номер банковской карточки и срок окончания действия (exp.date), а также IP-адрес пользователя. Эта информация может пригодиться в дальнейшем процессе подделки личности.
А еще как все этой успеть сделать, когда видишь фотку в инстаграмме человека, который уже прошел досмотр и сидит в чистой зоне за 40 минут до посадки?
Остаётся ещё обратный рейс с тем же PNR… Так что времени на «шуточки» вполне хватит.
ну как. взломать бд перевозчика и вуаля.
Ну, нет истерии потому, что немножко всё не так.
1) Права доступа не предполагают доступа всех ко всем PNR. Если вы агент, то вам доступны только брони вашего агентства, если вы перевозчик, то только те, которых повезёте. Да, работники GDS, возможно, подчеркну. возможно увидят все бронирования. Права доступа более-менее правильно нарисованы в презентации.
2) Аутентификация. Ну, тут как-бы и да, и нет. Получить доступ к GDS можно зная имя, пароль, и ещё одно-два значения, в зависимости от GDS. Доступ по имени пассажира и PNR — это доступ предоставляемый не GDS, а агентством или авиакомпанией, поэтому вопросы к ним. Ну, да, дальше то, что вы можете сделать с бронированием — зависит от того, что они вам там предоставят. Но это не доступ к GDS напрямую.
3) Данные. Не всё доступно и не всем в плане данных. Например, номер карты может быть частично закрыт звёздочками. Может — зависит от GDS, настроек, сохранения данных.
4) Мошенничество. Ну, опять же, как и в PDF сказано, Airlines typically only authenticate passengers with the PNR locator. Ключевое слово тут — Airlines. А вовсе не GDS. Но и тут, максимум, что удастся сделать — это нагадить пассажиру: отменить билет или перенести поездку. Деньги вернут на карту, с которой платили. Пассажир их получит себе обратно, только если купил билет напрямую у авиакомпании, иначе ему нужно «трясти» агентство. Вернут в бонусах? Может быть, но бонусы запишутся только если у этого пассажира есть бонусная карта и она была в брони. Даст ли система вписать чужой номер? Не знаю. Что там ещё? Изменить имя? Сильно сомневаюсь, что вам понадобится лететь такой авиакомпанией. Практически никто не разрешает замену имени. Перебронируйте заново.
А уж требования в докладе совершенно странные:
1)Limitations on which agents (and governments!) can access what information
Кто что видит я уже написал, а от правительства спрятать всю GDS? Даже не смешно. Думаю, что там, наоборот, ещё и фильтры правильные стоят, чтобы нужные фамилии вылавливать.
2)Passwords for booking — Ха-ха-ха. И пароль должны знать все, начиная от агентства и заканчивая авиакомпанией. Можно и самому пассажиру, так и быть.
3) Minimum web service security for all exposed interfaces.
Ну, да, вот тут есть над чем работать. Но, в основном — это не проблема GDS.
4) Strict logging of any access to personal information — Это запрос настоящего гика. Никто не будет читать эти логи. А, вообще, логи, конечно, есть. Но на изменения, а не на чтение. Если логировать чтение, то это сродни хранению всего траффика абонентов.
Вот и нет истерии. А у GDS-ок есть куча своих других проблем. Вой может быть относительно каких-то авиакомпаний или агентств, когда их хакнут.
Что-то много получилось.
1) Права доступа не предполагают доступа всех ко всем PNR. Если вы агент, то вам доступны только брони вашего агентства, если вы перевозчик, то только те, которых повезёте. Да, работники GDS, возможно, подчеркну. возможно увидят все бронирования. Права доступа более-менее правильно нарисованы в презентации.
2) Аутентификация. Ну, тут как-бы и да, и нет. Получить доступ к GDS можно зная имя, пароль, и ещё одно-два значения, в зависимости от GDS. Доступ по имени пассажира и PNR — это доступ предоставляемый не GDS, а агентством или авиакомпанией, поэтому вопросы к ним. Ну, да, дальше то, что вы можете сделать с бронированием — зависит от того, что они вам там предоставят. Но это не доступ к GDS напрямую.
3) Данные. Не всё доступно и не всем в плане данных. Например, номер карты может быть частично закрыт звёздочками. Может — зависит от GDS, настроек, сохранения данных.
4) Мошенничество. Ну, опять же, как и в PDF сказано, Airlines typically only authenticate passengers with the PNR locator. Ключевое слово тут — Airlines. А вовсе не GDS. Но и тут, максимум, что удастся сделать — это нагадить пассажиру: отменить билет или перенести поездку. Деньги вернут на карту, с которой платили. Пассажир их получит себе обратно, только если купил билет напрямую у авиакомпании, иначе ему нужно «трясти» агентство. Вернут в бонусах? Может быть, но бонусы запишутся только если у этого пассажира есть бонусная карта и она была в брони. Даст ли система вписать чужой номер? Не знаю. Что там ещё? Изменить имя? Сильно сомневаюсь, что вам понадобится лететь такой авиакомпанией. Практически никто не разрешает замену имени. Перебронируйте заново.
А уж требования в докладе совершенно странные:
1)Limitations on which agents (and governments!) can access what information
Кто что видит я уже написал, а от правительства спрятать всю GDS? Даже не смешно. Думаю, что там, наоборот, ещё и фильтры правильные стоят, чтобы нужные фамилии вылавливать.
2)Passwords for booking — Ха-ха-ха. И пароль должны знать все, начиная от агентства и заканчивая авиакомпанией. Можно и самому пассажиру, так и быть.
3) Minimum web service security for all exposed interfaces.
Ну, да, вот тут есть над чем работать. Но, в основном — это не проблема GDS.
4) Strict logging of any access to personal information — Это запрос настоящего гика. Никто не будет читать эти логи. А, вообще, логи, конечно, есть. Но на изменения, а не на чтение. Если логировать чтение, то это сродни хранению всего траффика абонентов.
Вот и нет истерии. А у GDS-ок есть куча своих других проблем. Вой может быть относительно каких-то авиакомпаний или агентств, когда их хакнут.
Что-то много получилось.
Если документы проверяются, то возвращаем билет, получаем бонусы, с их помощью покупает новый билет на своё имя — и летим бесплатно.
… ведь человек с аннулированным билетом не станет обращаться в авиакомпанию с претензиями, а даже если и обратится, авиакомпания не скажет ему, на чье имя купили билет.[/sarcasm]
Если уж совершать такое преступление, лучше найти постороннего клиента и оформить новый билет на него за биткоины.
Только вчера читал негативный комментарий про билеты со штрих-кодами. Только там была история про билеты на концерт. Человек выложил фото билетов в соцсети, а когда пришел на концерт, ему сообщили, что по его билету уже кто-то прошел. В ходе разбирательств выяснилось, что злоумышленники ищут фото свежих билетов, копируют оттуда штрих-коды на поддельные билеты, а затем продают, либо сами проходят. Причем на входе никто не проверяет соответствие штрих-кода человеку.
Боюсь, что в большинстве случаев при покупке билетов на концерт паспорт не спрашивают.
Да, паспорт не спрашивают, но при заказе электронного билета нужно указать фамилию и имя.
Это да. Но т.к. сотрудниники на входе привыкли, что у большинства «обычные» билеты, купленные в кассе, про паспорт они забывают.
По моему опыту покупок электронных билетов, везде большими красными буквами пишут, не показывайте ваш билет никому — могут воспользоваться мошениики (и вариации на тему).
Помимо этого столкнулся с неприятной попыткой «исправить» ситуацию. Электронный билет именной, и выдается на имя покупателя. Для прохода паспорт обязателен и если билетов несколько, то пройти можно только с человеком, купившим билет. А если билет покупается в подарок, то необходима доверенность для того человека, кто пойдет от покупателя билета.
Помимо этого столкнулся с неприятной попыткой «исправить» ситуацию. Электронный билет именной, и выдается на имя покупателя. Для прохода паспорт обязателен и если билетов несколько, то пройти можно только с человеком, купившим билет. А если билет покупается в подарок, то необходима доверенность для того человека, кто пойдет от покупателя билета.
На Хабре год назад описывали аналогичное: Как с помощью посадочных талонов могут взломать аккаунты часто летающих пассажиров
Видимо, исследователи вдохновились записью Брайана Кребса)
Видимо, исследователи вдохновились записью Брайана Кребса)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
В соцсетях можно найти фотографии авиабилетов и присвоить бонусные мили