امکان سوءاستفاده هکرها از ناامنی سیستم رزرو بلیط‌های پرواز

18:21 ۶۱۶ روز و ۱۹ ساعت پیش ایتنا 214 0
امکان سوءاستفاده هکرها از ناامنی سیستم رزرو بلیط‌های پرواز

ایتنا - اینستاگرام به تنهایی شامل هزاران عکس از تصاویر کنسرت ها، پروازها و حتی بلیط‌های بخت آزمایی می‌باشد.

ایتنا

افراد عکس بلیط‌های خود را به صورت آنلاین پست می‌کنند. اما چرا نباید این کار را انجام دهند؟ اینستاگرام به تنهایی شامل هزاران عکس از تصاویر کنسرت ها، پروازها و حتی بلیط‌های بخت آزمایی می‌باشد.مطمئنا خیلی از شما که خواننده این وبلاگ هستید و تیتر این مقاله برای شما جذاب بوده است این کار را حداقل یکبار انجام داده اید، اما تاکید ما برای عدم این کار چیست؟در واقع، آخرین کاری که شما با خرید بلیط یا کارت پرواز خود انجام می‌دهید، پست گذاشتن آن بر روی اینستاگرام خود است. این تکه کاغذ شامل داده‌هایی است که به هر کسی اجازه می‌دهد تا بلیط شما را به راحتی به سرقت ببرد ( حقیقت این است که ما مبالغه نمی‌کنیم و این اتفاق به راحتی پیش خواهد آمد) یا حتی به راحتی می‌توانند شما را بازی دهد. چندی پیش ما در مورد اینکه چرا کاربران نباید اطلاعات بلیط‌های خود را با دیگران به اشتراک بگذارند صحبت کردیم. اما به تازگی محققان امنیتی Karsten Nohl و Nemanja Nikodijevic این موضوع را دو مرتبه در کنگره آشفتگی ارتباطات (۳۳С۳) مطرح کرده‌اند.خطوط هوایی، آژانس‌های مسافرتی، وب‌سایت‌های مقایسه قیمت و بسیاری از خدمات دیگر با یکدیگر کار می‌کنند تا فرصت‌های آسان رزرو را برای مسافران مهیا کنند. صنعت با استفاده از سیستم‌های توزیع جهانی (GDS) برای بررسی در دسترس بودن پرواز، مدام در حال بررسی است که اطمینان حاصل کند یک صندلی دوبار رزرو نشده است و غیره. GDS شدیدا با خدمات وب درآمیخته است اما این یکی شدن متاسفانه با بهترین حفاظت وب همراه نبوده است. به همین خاطر امروزه تکنولوژی GDS بهترین شرایط را برای سرقت‌های بزرگتر مجرمان فراهم کرده است.اگرچه حدود ۲۰ فروشنده GDS همچنان وجود دارند اما Nohl و Nikodijevic تمرکز خود را بر سه سیستم اصلی Sabre (سال تاسیس در ۱۹۶۰)، Amadeus (سال تاسیس در ۱۹۸۷) و Galileo ( در حال حاضر بخشی از تراول پورت است)، گذاشته‌اند. این سیستم‌های اداره بیش از ۹۰ درصد از رزرو پروازها و همچنین هتل‌ها، ماشین‌ها و دیگر رزروهای سفر را انجام می‌دهند.به عنوان مثال، پرواز لوفت هانزا و ایربرلین با آمادوس کار می‌کنند. اَمریکن ایرلاینز و خط هوایی Аeroflot روسیه با Sabre در حال ارتباط هستند. به هر حال اعتماد کردن به GDS برای مطمئن شدن از ذخیره خصوصی داده‌های مسافران کار سختی است. به عنوان مثال، اگر شما یک بلیط را روی خط هوایی Expedia آمریکا رزور کنید، هم آمادوس و هم سابره این معامله را ثبت می‌کنند.به خاطر قوانین وابسته به رزرو، GDS معمولا اطلاعاتی مانند نام مسافر، شماره تلفن، تاریخ تولد، اطلاعات پاسپورت، شماره بلیط، مبدا و مقصد و تاریخ و روز پرواز را ضبط می‌کنند. این اطلاعات همچنین شامل اطلاعات پرداخت ( مانند شماره کارت اعتباری نیز می‌شود). اگر بخواهیم در یک جمله بگوییم، GDS تمام اطلاعات حساس مسافر را ضبط می‌کند.Nohl و Nikodijevic اشاره می‌کنند که بسیاری از افراد به این اطلاعات که شامل کارکنان خطوط هوایی، اپراتورهای تور، نمایندگان تور و عوامل دیگر دسترسی دارند. محققان گمان می‌کنند که آژانس‌های دولتی به خوبی می‌توانند این اطلاعات را بخوانند. اما این فقط یک طرف ماجرا است.برای دسترسی و تغییر این اطلاعات، GDS با استفاده از نام یک مسافر به پر کردن نام کاربری و با نوشتن کد ۶ رقمی شماره پرواز( اکثر مسافران آن را با PNR می‌شناسند) به عنوان پسورد، لوگین می‌کنند. بله به همین راحتی است، PNR پرینت شده و بر روی چمدان شما چسبانده می‌شود. Nohl در این کنفرانس گفت: اگر قرار است PNR به عنوان یک رمز عبور امن باشد، پس می‌بایستی آن را حفظ کرد. اما متاسفانه آن‌ها متوجه این موضوع نیستند و آن را امن نگه نمی‌دارند و ما مشاهده می‌کنیم که بر روی هرجایی پرینت شده است. این بارکدی است که به راحتی می‌توان آن را به سرقت برد، پس باید مهم تلقی شود.اکثر مسافران چیز زیادی از عملکرد صنعت پرواز نمی‌دانند به طوری که آن‌ها مشتاقانه بلیط‌های خود را به همراه PNR پست می‌کنند و در اینستاگرام خود منتشر می‌کنند. شاید اگر آن‌ها می‌دانستند که خواندن این بارکد به راحتی توسط نرم‌افزارهای خاص امکان پذیر است، هرگز این کار را انجام نمی‌دادند. بنابراین هرکسی می‌تواند با استفاده از عکسی که شما از بلیط خود منتشر کرده اید به اطلاعات پرواز شما یا حتی به اطلاعات شخصی شما دست یابد. برای این کار نیاز به یک هکر حرفه‌ای برای یافتن آسیب پذیری‌های PNR نیست، فقط کافی است که مجرم بداند PNR چیست و شما کجا آن را منتشر کرده‌اید.علاوه بر این، بسیاری از خطوط هوایی و وب‌سایت‌های سفر، حساب کاربرانی را که چندین بار پست سر هم کد‌های اشتباه را وارد کرده اند را مسدود نمی‌کنند. در نتیجه، مجرمان می‌توانند به راحتی با در دست داشتن نام مسافر، PNR را حدس بزنند یا حتی اگر تمام شماره‌های آن در عکس واضح نباشد مابقی آن را حدس بزنند. این اصلا کار سختی نیست، PNR متشکل از ۶ رقم است و الگوریتم‌های تولید کد به راحتی می‌توانند آن را بسازند. به عنوان مثال برخی از آن‌ها دو کاراکتر تکراری دارند و همه PNR‌ها طبق اگویی خاص نوشته شده اند، به همین خاطر حدس زدن آن کاری آسان است. در کنگره آشفتگی ارتباطات، Nohl و Nikodijevic نشان دادند که هک PNR تنها چند دقیقه بیشتر طول نمی‌کشد.نتایج نشان می‌دهد که مجرمان می‌توانند از طریق GDS، داده‌های حساس مسافران را بدست آورند و از آن برای حملات پیشرفته فیشینگ استفاده کنند. این سناریو را در نظربگیرید: آقای اسمیت یک پرواز را به برلین رزرو کرده است و ۱۰ دقیقه بعد یک ایمیلی از طرف شرکت هواپیمایی او برایش با این عنوان ارسال می‌شود: "اطلاعات کارت اعتباری خود را وارد نمایید". این اطلاعات شامل نام، نام خانوادگی، مقصد، آپارتمانی که در آن قصد سکونت فعلی دارد و دیگر جزئیات می‌باشد. آیا این‌ها واقعی و قابل باور به نظر می‌رسند؟ حقیقتا بله! آقای اسمیت به احتمال خیلی زیاد بر روی لینک کلیک کرده و اطلاعات کارت اعتباری خود را وارد می‌کند، اما در حقیقت او به یک وب‌سایت جعلی متصل خواهد شد.همچنین با در دست داشتن یک PNR و داشتن برخی از اطلاعات شخصی دیگر، ممکن است هکرها قادر به تغییر داده‌های بلیط شوند. آن‌ها به راحتی می‌توانند بلیط را لغو کنند و پول را به حساب کاربری خود استرداد دهند. یا حتی می‌توانند نام، نام خانوادگی، شماره گذرنامه دارنده بلیط را تغییر دهند به طوری که شخص دیگری می‌تواند آن سفر را برود (خیلی عجیب است، اما تنها با تغییر این اطلاعات این امکان وجود دارد). مجرم محتاط یا سخاوتمند ممکن است به راحتی اطلاعات بلیط را تغییر داده و درخواست صدور بلیط مجدد کند. در نهایت با استفاده از PNR به عنوان پسورد، هکرها سفری رایگان بدون پرداخت هیچ مبلغی را تجربه خواهند کرد.در حال حاضر تنها توصیه‌ای که ما می‌توانیم برای شما داشته باشیم این است که هوشیار و گوش بزنگ باشید و هرگز بلیط و اطلاعات شخصی خود را بر روی شبکه‌های اجتماعی خصوصا اینستاگرام پست نکنید. حتی بلیط‌های قدیمی!منبع: کسپرسکی‌آنلاین


گروه های زیر مجموعه فناوری اطلاعات

وب و اينترنت
وب و اينترنت

آخرین اخبار

از دیدن این عکس‌ها تپش قلب می‌گیرید
موقعیت‌های زیادی در دنیا وجود دارد که ضربان قلبتان را بالا می‌برد: حمله زنبورها، شکستن شیشه اتومبیل، پرش از ارتفاع و ... همه ما این لحظات عجیب را تجربه کرده ایم، اما بهتر است همیشه با شوخی با آن‌ها روبرو شویم و نترسیم.
خاطرات تصویری به بهانه اول مهر +عکس
امروز اولین روز ماه مهر و نخستین روزی است که دانش آموزان در سال تحصیلی جدید به مدرسه می روند برخی ها هم برای اولین بار قدم در دبستان می گذارند. تصاویر زیر بخشی از خاطرات دهه شصتی ها و دهه پنجاهی ها است که شاید بچه مدرسه ای های امروز درکی از آن نداشته باشند.
تغییرات عجیبی که در پاییز روی می‌دهد
چرا برگ‌های درختان در پاییز تغییر رنگ می‌دهند، بچه‌هایی که در پاییز به دنیا می‌آیند باهوش‌ترند و نیمی از دنیا دوست دارند در این فصل قرار‌های عاشقانه بگذارند؟
فیلم «ما حیوانات»؛ شکننده و در عین حال انعطاف‌پذیر
«ما حیوانات» شکننده و در عین حال بسیار ارتجاعی و انعطاف‌پذیر است و عناصر کیفی‌ای دارد که بسیار ساده هستند؛ از آب و خاک و هوا استفاده می‌کند تا دنیایی رویایی را خلق کند که تغییرات بسیار بزرگ را به طور کوچک و و به روش‌های بسیار نمادگونه و سمبلیک انجام می‌دهند.
تروریست‌های الاحوازی را بشناسید
حمله تروریستی به مراسم بزرگداشت ۳۱ شهریور در استان خوزستان توسط گروهک «الاحوازی» انجام شد؛ در این گزارش به روند پیدایش این گروهک تروریستی و ادعای آن‌ها می‌پردازیم.
استاد شجریان؛ از نگاه خود و دیگران
امروز زادروز کسی‌ست که «پاره‌ای از خاک وطن» می‌نامندش؛ مردی که از سال ۵۲ تا کنون بازتاب وقایع تاریخ معاصر ایران است؛ استاد محمدرضا شجریان.
ایرانی‌ها چگونه خشم خود را کنترل کنند؟
خشم احساسی است که در همه افراد وجود دارد و، اما گاهی خطا‌های شناختی سبب می‌شود اطرافیان‌مان ما را فرد عصبانی‌ای ببینند؛ نکته قابل تأمل این است که به‌طور دقیق نمی‌توان گفت: خشم از کجا نشأت می‌گیرد، اما درعین حال نمی‌توان تاثیر الگو‌های تربیتی، آمادگی بدنی، مسائل فرهنگی، روانی و محیطی که فرد در آن رشد می‌کند را نادیده گرفت.
چگونه تروریست‌ها و فعالیت‌های مشکوک را تشخیص دهیم؟
با توجه به گسترش فعالیت های تروریستی در سراسر جهان و به ویژه منطقه ی خاورمیانه بنظر می رسد باید آگاهی در مورد علائم حملات تروریستی بالاتر برود و با هوشیاری بیشتری مراقبت فعالیت های اطرافمان باشیم تا پیش از وقوع حملات تروریستی و قبل از این که خیلی دیر شود جان خود و اطرافیانمان را نجات دهیم.
جشنواره «بیستابیست» بانک ملی ایران، ۲۰ روز دیگر پایان می‌یابد
۲۰ روز دیگر تا پایان جشنواره «بیستابیست» بانک ملی ایران و بردن جوایز ۲۰ میلیون تومانی آن فرصت باقی است.
کدهای تخفیف جدید در وب‌سایت تخفیفان
یکی از اهدافی که توسط شرکت تخفیفان دنبال شود، گسترش همکاری با شرکت‌های معتبر و استارت‌آپ‌های تازه نفس و خلاق بازار کشور در جهت خرید به صرفه‌تر و استفاده بیشتر مردم از این وب‌سایت‌ها و اپلیکیشن‌ها است. این شرکت‌ها از دیجی کالا که بزرگ‌ترین فروشگاه اینترنتی ایران است گرفته تا استارت‌آپ‌های موفقی همچون ریحون، اتاقک، مستر بلیط، آچاره و بیمی لاین است.

پر بازدید ترین اخبار امروز

علائم عجیبی که خبر از یک بیماری جدی می‌دهند
بیشتر اوقات توده‌ها، برآمدگیها، جوش‌ها، کهیر‌ها و نقطه‌های قرمز بی‌خطرند، اما گاهی می‌توانند علامت یک مشکل جدی باشند. در این مطلب برای‌تان می‌گوییم چگونه این تفاوت را تشخیص دهید.
زمین لرزه مازندران تاکنون خسارتی در پی نداشت
ساری - ایرنا- مدیرکل مدیریت بحران استانداری مازندران حدود یک ساعت پس از وقوع زمین لرزه 4.7 ریشتری در مناطقی از این استان اعلام کرد که تاکنون هیچ گزارشی از خسارت احتمالی به این اداره کل گزارش نشده است.
پوشک بچه، موضوع سخنرانی در شب عاشورا!
گرانی پوشک انقدر مورد توجه قرار گرفت که حتی به یکی از موضوعات سخنرانی حجت الاسلام پناهیان در شب‌های ماه محرم تبدیل شد.
بچه فروش، کلاهبردار از آب درآمد
داشتن فرزند برایم یک رویای بی تعبیر بود حاضر بودم همه زندگی ام را فدا کنم تا کودکی در فضای خانه ام لبخند بزند اما با گذشت چند سال از ازدواجم باردار نشده بودم و همه درمان هایم بی نتیجه ماند تا این که برای رهایی از این وضعیت تصمیم گرفتم ...
شیب تند مصرف بنزین در کشور
اوج گیری مصرف بنزین و سایر حامل‌های انرژی در کشور زنگ خطر تند شدن شیب صعودی مصرف را به صدا در آورده تا توجه افراد را به این عامل مهم جلب کند.