Schon einige Tage vor dem Start des jährlichen Hacker-Kongresses Chaos Communication Conference (CCC) wurde über Sicherheitslücken in Buchungssystemen berichtet, die es Hackern erlauben, kostenlos beziehungsweise auf Kosten anderer Fluggäste zu verreisen. Karsten Nohl eröffnete seinen Vortrag daher auch mit dem Versprechen, dass er den Anwesenden zeigen werde, wie sie die Heimreise kostenlos antreten könnten. Größte Schwachstelle sind ihm zufolge die veralteten „Global Distribution Systems“ aus den 70er und 80er Jahren, die einerseits zwar sinnvoll sind, da ein globales Inventar zum Beispiel verhindert, dass Sitzplätze doppelt belegt werden, andererseits aber auch eine enorme Angriffsfläche bieten.
Nohl demonstrierte beispielsweise, wie leicht es ist, an die für den Hack notwendigen, in den Systemen hinterlegten Informationen zu gelangen. Im Vorfeld hatte bereits die Süddeutsche Zeitung berichtet, dass sich Forscher des Unternehmens Security Research Labs (SR Labs) fehlende Passworthürden zunutze gemacht hätten, um Zugang zum Ticketsystem eines Anbieters zu erlangen und einen Flug umzubuchen. Somit wäre es den Hackern möglich gewesen, dem eigentlichen Kunden zuvorzukommen und auf seine Kosten zu fliegen. Gerade bei EU-internen Flügen ist das aufgrund wegfallender Passkontrollen eine reelle Gefahr.
Das Hauptproblem ist die unzureichende Sicherung der Flugbuchungen mittels eines sechsstelligen Codes. Damit lässt sich die Reservierung im Nachhinein ändern — auch von Unbefugten. Hackern wird ihr Tagwerk zudem durch den Umstand erleichtert, dass besagtes System beliebig viele Fehlversuche erlaubt. Nun muss sich zeigen, ob und wie die Reiseanbieter auf die Offenlegung dieser Schwachstelle reagieren.
+++ Mehr von WIRED regelmäßig ins Postfach? Hier für den Newsletter anmelden +++
