Hacker holen sich Freiflüge von AUA und Lufthansa

SR Labs wird am Hackerkongress 33C3, der diese Woche stattfindet, eine Sicherheitslücke im Online-Buchungssystem Amadeus präsentieren. Der Süddeutschen Zeitung wurde die Lücke bereits vorab gezeigt, mit der man mit relativ wenig Aufwand zu kostenlosen Flügen kommen kann.

Das Buchungssystem Amadeus wird von der Lufthansa-Gruppe, zu der auch die AUA gehört, Airfrance, Air Berlin und anderen europäischen Fluggesellschaften genutzt. Pro Tag werden laut SR Labs ein bis zwei Millionen Buchungscodes vergeben, in der Form einer sechststelligen Kombination aus Ziffern und Großbuchstaben. Da die Buchungscodes fortlaufend vergeben und nicht zufällig generiert werden, ist es für Angreifer einfach zu berechnen, an welchen Tagen welche Buchungscodes aktuell sind.

Jetzt wird noch ein Nachname benötigt. Weiß man, dass eine bestimmte Person an einem bestimmten Tag fliegt, macht es das einfach. Ansonsten können die Hacker raten, indem sie einen häufigen Nachnamen wählen.

Ein Computer startet jetzt massenhaft Anfragen im Buchungssystem für den Nachnamen mit den Buchungcodes. Laut SR Labs dauert es nur wenige Minuten, bis ein Flug gefunden ist. Die Kombination aus Buchungscode und Nachname reicht, um sich bei den Online-Portalen der Fluglinien einzuloggen.

Flug umbuchen

Hier sieht der Angreifer jetzt die persönlichen Daten der Person, auf die das Ticket gebucht ist, wie eventuell Geburtsdatum, Telefonnummer, Vielfliegernummer und wann die Person wohin und wieder zurück fliegt. Wenn der Angreifer sich jetzt den Flug schnappen will, ändert er zuerst die E-Mail-Adresse. Dadurch wird verhindert, dass der Besitzer des Tickets etwas von den Machenschaften mitbekommt. Jetzt wird der Flug umgebucht, damit er ein paar Tage früher geht.

Da sich die meisten Passagiere erst 24 Stunden vor Abflug mit dem Buchungscode und ihren Namen einloggen, um einen Online-Check-in vorzunehmen, kriegen sie die Umbuchung erst mit, wenn es schon zu spät ist. Uneingeschränkt funktioniert das Ganze nicht: Die Hacker sind auf Flüge beschränkt, bei denen nicht der Name auf dem Ticket mit dem im Reisepass abgeglichen wird. Bei vielen Flügen innerhalb der EU wird der Ausweis oder Reisepass ohnehin nicht kontrolliert.

Leicht zu stopfen

Laut SR Labs könnte die Lücke relativ einfach gestopft werden, indem übermäßig viele Anfragen, die von einem Computer ausgehen, blockiert werden. Wie die Süddeutsche Zeitung berichtet, sei dies laut einem Sprecher von Amadeus ohnehin der Fall. Es habe nur ein „temporäres Wartungsfenster“ gegeben, bei dem diese dutzenden Anfragen nicht blockiert wurden. Laut SR Labs wurden aber „über Wochen hinweg immer wieder mehrere Millionen Kombinationen“ durchprobiert, ohne, dass die Anfragen blockiert wurden.

SR Labs geht davon aus, dass auch andere Online-Buchungssysteme diese Sicherheitslücke aufweisen. Als erste Maßnahme wird das Einführen von Captchas und ein Limit für falsche Eingaben pro IP-Adresse empfohlen. Im nächsten Schritt sollte eine Möglichkeit gefunden werden, um den User zu verifizieren, wie etwa Passwörter oder per SMS zugeschickte Codes.