Bezpečnost | Sociální sítě | Hacking

Chcete chránit svá data? Nedávejte na sociální sítě fotografie letenek

Chcete chránit svá data? Nedávejte na sociální sítě fotografie letenek

S postupem let se z toho stal kolorit cestování letadlem. Před nástupem do stroje mnozí uživatelé sociálních sítí zveřejní fotografii palubní vstupenky zároveň s popiskem, který oznamuje, kam a na jak dlouho dotyčný letí. Podle německé bezpečnostní společnosti SR Labs však tento krok není příliš moudrý. Z údajů dostupných na letence se totiž dají vyčíst mnohá osobní data cestujících.

Obecným problémem letecké dopravy jsou neaktualizované a zastaralé systémy, především ty rezervační. To platí také pro takzvaný Globální distribuční systém (GDS), který se zabývá koordinací rezervací a letenek mezi jednotlivými aerolinkami. Jeho původ se totiž datuje až do šedesátých let, a to včetně jeho pravděpodobně nejznámější funkce, takzvaného záznamu jména pasažéra (PNR – passenger name record).

Toto číslo sestává z šesti znaků a je přiřazené ke jménu jednotlivých pasažérů tak, aby usnadnilo práci v rezervačních systémech. Jejich slabinami ze zabývala dvojice inženýrů Karsten Nohl a Nemanja Nikodijevic, právě ze společnosti SR Labs. Svůj výzkum představili na hackerském kongresu v Hamburku, ačkoliv jak sami přiznávají, k získání dat nebylo potřeba příliš „hackování“.

Problémem je podle nich samotná podstata kódu PNR. Ten se k přístupu k autorizačním údajům používá pouze v kombinaci s příjmením pasažéra. Pokud k oběma těmto údajům má přístup třetí strana, může dojít k jejich zneužití. Mnohé aerolinky sice hesla PNR vkládají do čárových kódů, nicméně při současném rozmachu chytrých telefonů je jejich rozluštění otázkou několika vteřin. „PNR by mělo být zabezpečeným heslem, bohužel ho nikdo v tajnosti nedrží. A nepomáhá tomu ani jejich přepis do čárových kódů,“ uvádí Karsten Nohl.

Podle výzkumu však nejde pouze o to, že mnozí uživatelé sami heslo zveřejní na internetu. Pokud víte, jak se pasažér jmenuje a jakou společností letí, jste zase o krok blíže k získání jeho údajů. Společnosti spravující rezervační systémy totiž při vytváření kódů postupují systematicky, každá používá rozdílný princip jejich tvorby. Zároveň se od sebe neliší začátky kódů utvořené v určitý den, šance uhodnout PNR se tak značně zmenšují.

Nepomáhají tomu ale ani samotné aerolinky. Jejich rezervační systémy totiž podle studie mnohdy dovolují hackerským programům hádat tisíce hesel za minutu bez toho, aby se systém tomuto narušení nějak bránil. To se také potvrdilo expertům společnosti SR Labs. Za několik chvil, během kterých vyprodukovali tisíce náhodných PNR kódů, systém pětkrát kladně reagoval a shodoval se s příjmením Smith, jedním z nejpoužívanějších na světě.

Se získanými údaji se pak dá dělat mnohé. Hacker dokáže přebookovat let, operovat s nalétanými mílemi nebo pouze získat citlivá data, která použije při dalším útoku, například pomocí e-mailu.

Sami autoři studie však doufají, že se situace brzy změní. Pokud nedojde k nějakému závažnému hackerskému útoku, který by donutil aerolinky změnit rezervační systémy, postará se o nápravu samotný trh. Jak totiž dokazuje příklad se jménem Smith, kapacita kódů PNR se se vzrůstající leteckou dopravou pohybuje na hranici své použitelnosti.

Článek původně vyšel na E15.cz. Úvodní obrázek: Hirotomo, Flickr, CC BY-SA 2.0.

Diskuze (20) Další článek: Nejčtenější články roku 2016 a čísla ze zákulisí

Témata článku: Bezpečnost, Sociální sítě, Hacking, Únik dat, Heslo, Síť, Let, Obecný problém, Podstata, Míle, Vtipálek, Hamburk, C/C, Flickr.com, Úvodní obrázek, Fotograf, Náhodný znak, Rezervační systém, Mnohý výzkum, Získané údaje, Neaktualizovaný systém, SoC, Passenger, Slabina, Pasažéři


Určitě si přečtěte

17 užitečných tipů a triků pro Mapy Googlu, které byste měli znát

17 užitečných tipů a triků pro Mapy Googlu, které byste měli znát

** Mapy Googlu mají spoustu funkcí, které jsou často přehlíženy ** Využijte například podrobnější možnosti plánování cest ** Hodit se mohou i tipy na sdílení nebo pohledy do minulosti

Karel Kilián | 25

Dost bylo moderních Windows 10. Pojďme je přebarvit zpět na Windows 95

Dost bylo moderních Windows 10. Pojďme je přebarvit zpět na Windows 95

** Stařičké Windows 2000 nedávno oslavily 20 let ** Někteří z vás si postěžovali, že to byly poslední hezké Windows ** Fajn, ukážeme vám, jak přebarvit Desítky o 25 let zpět

Jakub Čížek | 44

Nový Edge je opravdu Chrome! Prohnali jsme prohlížeče benchmarky i vlastním unikátním testem

Nový Edge je opravdu Chrome! Prohnali jsme prohlížeče benchmarky i vlastním unikátním testem

** Nový Edge je postavený na Chromiu ** Prohnali jsme ho benchmarky a srovnali s ostatními ** Potvrdily nám, že je prakticky stejný jako Chrome a Opera

Jakub Čížek | 66

Chrome se naučí dokonale odkazovat. Jeho odpůrci bijí na poplach, prý je to bezpečnostní katastrofa

Chrome se naučí dokonale odkazovat. Jeho odpůrci bijí na poplach, prý je to bezpečnostní katastrofa

** Google zavádí techniku ScrollToTextFragment ** Umí vytvořit odkaz na konkrétní slovo na stránce ** Podle kritiků by to mohl být bezpečnostní problém

Jakub Čížek | 40



Aktuální číslo časopisu Computer

Velký test autokamer

Test ATX skříní

Jak surfovat pohodlně

Sportovní aplikace

Jak funguje procesor