Chcete chránit svá data? Nedávejte na sociální sítě fotografie letenek

S postupem let se z toho stal kolorit cestování letadlem. Před nástupem do stroje mnozí uživatelé sociálních sítí zveřejní fotografii palubní vstupenky zároveň s popiskem, který oznamuje, kam a na jak dlouho dotyčný letí. Podle německé bezpečnostní společnosti SR Labs však tento krok není příliš moudrý. Z údajů dostupných na letence se totiž dají vyčíst mnohá osobní data cestujících.

Obecným problémem letecké dopravy jsou neaktualizované a zastaralé systémy, především ty rezervační. To platí také pro takzvaný Globální distribuční systém (GDS), který se zabývá koordinací rezervací a letenek mezi jednotlivými aerolinkami. Jeho původ se totiž datuje až do šedesátých let, a to včetně jeho pravděpodobně nejznámější funkce, takzvaného záznamu jména pasažéra (PNR – passenger name record).

Toto číslo sestává z šesti znaků a je přiřazené ke jménu jednotlivých pasažérů tak, aby usnadnilo práci v rezervačních systémech. Jejich slabinami ze zabývala dvojice inženýrů Karsten Nohl a Nemanja Nikodijevic, právě ze společnosti SR Labs. Svůj výzkum představili na hackerském kongresu v Hamburku, ačkoliv jak sami přiznávají, k získání dat nebylo potřeba příliš „hackování“.

Problémem je podle nich samotná podstata kódu PNR. Ten se k přístupu k autorizačním údajům používá pouze v kombinaci s příjmením pasažéra. Pokud k oběma těmto údajům má přístup třetí strana, může dojít k jejich zneužití. Mnohé aerolinky sice hesla PNR vkládají do čárových kódů, nicméně při současném rozmachu chytrých telefonů je jejich rozluštění otázkou několika vteřin. „PNR by mělo být zabezpečeným heslem, bohužel ho nikdo v tajnosti nedrží. A nepomáhá tomu ani jejich přepis do čárových kódů,“ uvádí Karsten Nohl.

Podle výzkumu však nejde pouze o to, že mnozí uživatelé sami heslo zveřejní na internetu. Pokud víte, jak se pasažér jmenuje a jakou společností letí, jste zase o krok blíže k získání jeho údajů. Společnosti spravující rezervační systémy totiž při vytváření kódů postupují systematicky, každá používá rozdílný princip jejich tvorby. Zároveň se od sebe neliší začátky kódů utvořené v určitý den, šance uhodnout PNR se tak značně zmenšují.

Nepomáhají tomu ale ani samotné aerolinky. Jejich rezervační systémy totiž podle studie mnohdy dovolují hackerským programům hádat tisíce hesel za minutu bez toho, aby se systém tomuto narušení nějak bránil. To se také potvrdilo expertům společnosti SR Labs. Za několik chvil, během kterých vyprodukovali tisíce náhodných PNR kódů, systém pětkrát kladně reagoval a shodoval se s příjmením Smith, jedním z nejpoužívanějších na světě.

Se získanými údaji se pak dá dělat mnohé. Hacker dokáže přebookovat let, operovat s nalétanými mílemi nebo pouze získat citlivá data, která použije při dalším útoku, například pomocí e-mailu.

Sami autoři studie však doufají, že se situace brzy změní. Pokud nedojde k nějakému závažnému hackerskému útoku, který by donutil aerolinky změnit rezervační systémy, postará se o nápravu samotný trh. Jak totiž dokazuje příklad se jménem Smith, kapacita kódů PNR se se vzrůstající leteckou dopravou pohybuje na hranici své použitelnosti.

Článek původně vyšel na E15.cz. Úvodní obrázek: Hirotomo, Flickr, CC BY-SA 2.0.

Témata článku: Bezpečnost, Sociální sítě, Hacking, Heslo, Únik dat, Smith, Flickr.com, Passenger

20 komentářů

Nejnovější komentáře

  • Troja 4. 1. 2017 18:58:07
    nejlepší je zavolat taxíka, naložit kufry, informovat ho, že jede celá...
  • Mi.Chal 1. 1. 2017 11:20:12
    Už jenom zveřejňovat to, že člověk jede pryč na X dní, není moc...
  • Jan Novák 1. 1. 2017 8:46:11
    Jako fakt? Já papírovou letenku neviděl možná 10 roků, a obvykle už nemám...
Určitě si přečtěte

Operační systém běžným počítačům nedal Bill Gates, ale Gary Kildall

Operační systém běžným počítačům nedal Bill Gates, ale Gary Kildall

** Gary Kildall pochopil, že levné výpočetní čipy mohou posloužit jako univerzální počítače pro všechny ** Připravil pro ně proto první operační systém ** Později mu systém vyfoukl Microsoft a nazval ho MS DOS

23.  4.  2017 | Pavel Tronner | 57

Umělá inteligence je sice v plenkách, už teď ale přestáváme rozumět, jak vlastně funguje. To je problém

Umělá inteligence je sice v plenkách, už teď ale přestáváme rozumět, jak vlastně funguje. To je problém

** Už je to tady, lidé přestávají chápat počítače ** Systémy neuronových sítí začínají pracovat tak, že ani jejich tvůrci přesně neví, co se uvnitř děje ** Do budoucna to může být závažný problém

24.  4.  2017 | Jakub Čížek | 112

Před 35 lety měl premiéru legendární počítač ZX Spectrum. Připomeňte si „Gumáka“

Před 35 lety měl premiéru legendární počítač ZX Spectrum. Připomeňte si „Gumáka“

** Slavný osmibitový počítač Sinclair ZX Spectrum byl uveden právě před 35 lety ** Připomeňte si tento průkopnický počítač v tematických článcích ** Podívejte se, jak funguje dnes

23.  4.  2017 | Pavel Tronner | 13

Acer chrlí novinky: levný a tenký Predator, nové Switche a další notebooky

Acer chrlí novinky: levný a tenký Predator, nové Switche a další notebooky

** Acer na konferenci v New Yorku představil velkou spoustu novinek z oblasti počítačů, notebooků i monitorů ** Notebookové novinky se dotkly řad Predator, Swift, Switch i Aspire ** Herní notebooky dostaly nový typ chlazení

27.  4.  2017 | Karel Javůrek | 7

Správný počítač má alespoň dva monitory. Anebo je to jinak?

Správný počítač má alespoň dva monitory. Anebo je to jinak?

** David si nedokáže představit práci bez dvou a více monitorů ** Kubovi naopak stačí jeden a ve více displejích se ztrácí ** Jaký přístup je lepší?

23.  4.  2017 | Jakub Čížek | 59


Aktuální číslo časopisu Computer

Supertéma: moderní cestování

Kdy opravdu přijdou nové baterie?

Velké testy: 6 herních notebooků a 8 volantů

Recenze: AMD Ryzen řady 5