Sociální sítě | Bezpečnost | Hacking

Chcete chránit svá data? Nedávejte na sociální sítě fotografie letenek

S postupem let se z toho stal kolorit cestování letadlem. Před nástupem do stroje mnozí uživatelé sociálních sítí zveřejní fotografii palubní vstupenky zároveň s popiskem, který oznamuje, kam a na jak dlouho dotyčný letí. Podle německé bezpečnostní společnosti SR Labs však tento krok není příliš moudrý. Z údajů dostupných na letence se totiž dají vyčíst mnohá osobní data cestujících.

Obecným problémem letecké dopravy jsou neaktualizované a zastaralé systémy, především ty rezervační. To platí také pro takzvaný Globální distribuční systém (GDS), který se zabývá koordinací rezervací a letenek mezi jednotlivými aerolinkami. Jeho původ se totiž datuje až do šedesátých let, a to včetně jeho pravděpodobně nejznámější funkce, takzvaného záznamu jména pasažéra (PNR – passenger name record).

Toto číslo sestává z šesti znaků a je přiřazené ke jménu jednotlivých pasažérů tak, aby usnadnilo práci v rezervačních systémech. Jejich slabinami ze zabývala dvojice inženýrů Karsten Nohl a Nemanja Nikodijevic, právě ze společnosti SR Labs. Svůj výzkum představili na hackerském kongresu v Hamburku, ačkoliv jak sami přiznávají, k získání dat nebylo potřeba příliš „hackování“.

Problémem je podle nich samotná podstata kódu PNR. Ten se k přístupu k autorizačním údajům používá pouze v kombinaci s příjmením pasažéra. Pokud k oběma těmto údajům má přístup třetí strana, může dojít k jejich zneužití. Mnohé aerolinky sice hesla PNR vkládají do čárových kódů, nicméně při současném rozmachu chytrých telefonů je jejich rozluštění otázkou několika vteřin. „PNR by mělo být zabezpečeným heslem, bohužel ho nikdo v tajnosti nedrží. A nepomáhá tomu ani jejich přepis do čárových kódů,“ uvádí Karsten Nohl.

Podle výzkumu však nejde pouze o to, že mnozí uživatelé sami heslo zveřejní na internetu. Pokud víte, jak se pasažér jmenuje a jakou společností letí, jste zase o krok blíže k získání jeho údajů. Společnosti spravující rezervační systémy totiž při vytváření kódů postupují systematicky, každá používá rozdílný princip jejich tvorby. Zároveň se od sebe neliší začátky kódů utvořené v určitý den, šance uhodnout PNR se tak značně zmenšují.

Nepomáhají tomu ale ani samotné aerolinky. Jejich rezervační systémy totiž podle studie mnohdy dovolují hackerským programům hádat tisíce hesel za minutu bez toho, aby se systém tomuto narušení nějak bránil. To se také potvrdilo expertům společnosti SR Labs. Za několik chvil, během kterých vyprodukovali tisíce náhodných PNR kódů, systém pětkrát kladně reagoval a shodoval se s příjmením Smith, jedním z nejpoužívanějších na světě.

Se získanými údaji se pak dá dělat mnohé. Hacker dokáže přebookovat let, operovat s nalétanými mílemi nebo pouze získat citlivá data, která použije při dalším útoku, například pomocí e-mailu.

Sami autoři studie však doufají, že se situace brzy změní. Pokud nedojde k nějakému závažnému hackerskému útoku, který by donutil aerolinky změnit rezervační systémy, postará se o nápravu samotný trh. Jak totiž dokazuje příklad se jménem Smith, kapacita kódů PNR se se vzrůstající leteckou dopravou pohybuje na hranici své použitelnosti.

Článek původně vyšel na E15.cz. Úvodní obrázek: Hirotomo, Flickr, CC BY-SA 2.0.

Diskuze (20) Další článek: Nejčtenější články roku 2016 a čísla ze zákulisí

Témata článku: , , , , , , , , , , , , , , , , , , , , , , , ,