خانه / اخبار آی تی / دسترسی به اطلاعات مسافرین، تنها با استفاده از نام خانوادگی آن‌ها

دسترسی به اطلاعات مسافرین، تنها با استفاده از نام خانوادگی آن‌ها

محققین امنیتی هشدار داده‌اند که اکثر سیستم‌های رزرو سفر فاقد راهکار مناسبی برای تأیید هویت مسافران هوایی می‌باشند، و این مورد باعث می‌شود که کد کوتاهی که برای مواردی از قبیل تغییر جزئیات پرواز و یا سرقت اطلاعات حساس شخصی استفاده می شود، به آسانی قابل هک باشد.

سوابق نام مشتری ( PNR – Passenger Name Record) برای ذخیره کردن رزروهای مشتری با لینکهایی به نام مسافر، تاریخ سفر، برنامه سفر، جزئیات بلیط، تلفن تماس و ایمیل، آژانس مسافرتی، شماره کارت اعتباری، شماره صندلی و اطلاعات چمدان و سایر وسایل مسافر مورد استفاده قرار می‌گیرد.

به گفته این پژوهشگران، کدهای شش رقمی به عنوان پین کدی برای پیدا کردن سوابق سفر عمل میکنند، البته تفاوت های بسیار مهمی در مقایسه با حتی نام های کاربری و رمزهای عبوری دارند که کاربران برای دسترسی به ایمیل و یا وب سایت‌های ساده استفاده میکنند و این تفاوت‌ها، این پین کدها را به شدت ناامن و آسیب پذیر کرده‌اند.

سه سیستم عمده توزیع مسافرتی در جهان یعنی Amadeus, Sabre و Travelport اکثر رزروهای مسافرتی را مدیریت میکنند، ولی در حال حاضر با افزایش رققبایی مثل خطوط هوایی، شرکت های مسافرتی و سایت‌های رزرو آنلاین مسافرتی مواجه هستند.

محققین برلینی در بیانیه‌ای این چنین می‌گویند که : در حالی که در همه فعالیت های اینترنتی بحث در مورد استفاده از فاکتورهای دوم و حتی گاهی سوم برای اهراز هویت میباشد، این سیستمهای توزیع مسافرتی (GDS) حتی یک فاکتور اولیه اهراز هویت را هم در اختیار کاربران قرار نمی‌دهد.

در اهراز هویت با چند فاکتور یا اهراز هویت چند مرحله‌ای، کاربر تعدادی مدرک و شواهد ارایه می‌دهد که این مدارک نشان دهنده هویت آنها و راهکاری برای مقابله با هکرها برای دسترسی به اطلاعات کاربران می‌باشد. مدارک و مواردی از جمله چیزهایی که تنها خود کاربران آن‌ها را می‌دانند و در رابطه با آن خبر دارند مثل رمزها، پین کدها، و یا سوالات امنیتی و همچنین مواردی که مالک آن‌ها میباشند، مثل کار‌ت‌های بانکی و یا تلفن همراهشان.

این محققین، تنها با استفاده از نام خانوادگی و با استفاده از کامپیوتر برای حدس زدن، توانستند در عرض چند ساعت کدهای رزرو را بدست بیاورند و با این کدها، می‌توان به سوابق پروازها و سفرها دست یافت.

Karsten Nohl و همکارش Nemanja Nikodijevic که جزئیات تحقیقاتشان را این هفته در Chaos Communications Congress ارائه خواهند داد، دراین باره اینگونه می‌گویند که : ” تنها با استفاده از نام خانوادگی، می‌توان کد رزرو افراد را از طریق اینترنت با کمی تلاش پیدا کرد. “

Nohl قبل از این نیز تهدیدات امنیتی مهمی را در زمینه تلفن، اتومبیل، پایانه های پرداخت و دستگاه های ذخیره سازی داده‌ها یافته و فاش کرده بود.

دو مورد از سیستم‌های رزرو بزرگ، یعنی Amadeus و Travelport، کدهای رزرو را به ترتیب ایجاد کرده و به مسافرین اختصاص می‌دهند، و با این کار پیدا کردن این کدها را با استفاده از روش‌هایی مانند حدس زدن و استفاده از متدهای brute-force بسیار آسان می‌کنند. از بین این سه سیستم بزرگ، Amadeus از طریق پرتال وب خود، CheckMyTrip، به شدت آسیب‌پذیر می‌باشد.

یک سخنگوی شرکت آمادئوس به رویترز این چنین گفت که، آمادئوس در حال ارزیابی یافته های آزمایشگاه SR درباره امنیت سیستم‌های سفر می‌باشد.

وی همچنین با اشاره به خطوط هوایی و دیگر شرکای صنعت مسافرت ادامه داد که، ما این یافته‌های امنیتی را با همکاری شرکای خود در صنعت مسافرت بررسی خواهیم کرد و به مسائلی که که بیان شده رسیدگی کرده و به دنبال راه حلی برای آن‌ها خواهیم بود. و البته بهتر است این را هم بگوییم که آمادئوس از سیستم‌های خود از جمله CheckMyTrip، در برابر این نوع حملات خودکار که در گزارش‌ها ارائه شده است، محافظت می‌کند.

Sabre به رویترز گفت : “ما لایه های متعدد امنیتی را برای کار خود داریم و بحث درباره اینکه ما چگونه امنیت و حریم خصوصی مسافرین خود را تأمین می‌کنیم، امنیت سیستم ما را تحلیل می‌برد.”

Travelport در رابطه با این قضایا، اظهار نظری نکرد.

به گفته این پژوهشگران، مسافرین هیچ وقت نمی‌توانند بدانند که چه کسی به اطلاعاتشان دسترسی داشته، چرا که داده‌های PNR ثبت نمی‌شوند. کاربران هیچ گزینه‌ای برای اینکه خودشان بتوانند این کد را امن کنند، ندارند. به این دلیل که این کدها به طور خودکار توسط سیستم‌های رزرو خطوط هوایی تولید شده و اختصاص داده می‌شوند.

این محققین با خطوط هوایی تماس داشته و به آن‌ها پیشنهاد دادند که از تدابیر حفاظتی و امنیتی مدرن در برابر حملات brute-force استفاده کنند. روش‌هایی مانند محدود کردن تعداد درخواست PNR به ازای هر آدرس اینترنتی و یک رمز قابل تعویض به عنوان حداقل محافظت در برابر حملات این چنینی.

Nohl گفت : آسیب‌پذیری‌هایی که او در این سیستم‌ها یافته است، جدید نیستند. این یافته‌ها به صورت انتزاعی و مفهومی ، قبلا توسط Edward Hasbrouck متخصصی در سیستم حریم خصوصی مسافرت سان فرانسیسکو، شرح داده شده بودند.

Hasbrouck ، نویسنده کتاب ”راهنمایی عملی برای بازار مسافرت آنلاین”، در سال ۲۰۰۱ گفت که بعد از حملات هوایی ۱۱ سپتامبر در ایالات متحده، توجه صنعت و عموم روی دسترسی دولت به داده‌های مسافرتی متمرکز شده است تا از امنیت سفرها اطمینان یابند.

۱۵ سال پیش وی هشدار داده بود که ” پاشنه آشیل ” برنامه‌ریزی اینترنتی مسافرت‌ها، امنیت آن‌ها می‌باشد.

Hasbrouck می‌گوید که : اگر که قوانین مربوط به حفاظت داده‌ها در اروپا و کانادا در همان اوایل دهه نود برای این شرکت‌ها و سیستم‌های مسافرتی اجباری می‌شد، ممکن بود که ما الان شاهد تغییراتی در امنیت سیستم‌های مسافرتی باشیم و این آسیب پذیری‌هایی که پیدا شده ‌اند، کمتر می‌شدند.

منبع

مطلب پیشنهادی

ورایزون به دنبال کاهش قیمت نهایی یاهو می‌باشد

ظاهرا شرکت ارتباطاتی ورایزون (Verizon) که قرار بود یاهو را در آینده‌ ای نزدیک خریداری …

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *