امکان سوءاستفاده هکرها از ناامنی سیستم رزرو بلیط‌های پرواز

18:21 ۵۲۲ روز و ۲۲ ساعت پیش ایتنا 214 0
امکان سوءاستفاده هکرها از ناامنی سیستم رزرو بلیط‌های پرواز

ایتنا - اینستاگرام به تنهایی شامل هزاران عکس از تصاویر کنسرت ها، پروازها و حتی بلیط‌های بخت آزمایی می‌باشد.

ایتنا

افراد عکس بلیط‌های خود را به صورت آنلاین پست می‌کنند. اما چرا نباید این کار را انجام دهند؟ اینستاگرام به تنهایی شامل هزاران عکس از تصاویر کنسرت ها، پروازها و حتی بلیط‌های بخت آزمایی می‌باشد.مطمئنا خیلی از شما که خواننده این وبلاگ هستید و تیتر این مقاله برای شما جذاب بوده است این کار را حداقل یکبار انجام داده اید، اما تاکید ما برای عدم این کار چیست؟در واقع، آخرین کاری که شما با خرید بلیط یا کارت پرواز خود انجام می‌دهید، پست گذاشتن آن بر روی اینستاگرام خود است. این تکه کاغذ شامل داده‌هایی است که به هر کسی اجازه می‌دهد تا بلیط شما را به راحتی به سرقت ببرد ( حقیقت این است که ما مبالغه نمی‌کنیم و این اتفاق به راحتی پیش خواهد آمد) یا حتی به راحتی می‌توانند شما را بازی دهد. چندی پیش ما در مورد اینکه چرا کاربران نباید اطلاعات بلیط‌های خود را با دیگران به اشتراک بگذارند صحبت کردیم. اما به تازگی محققان امنیتی Karsten Nohl و Nemanja Nikodijevic این موضوع را دو مرتبه در کنگره آشفتگی ارتباطات (۳۳С۳) مطرح کرده‌اند.خطوط هوایی، آژانس‌های مسافرتی، وب‌سایت‌های مقایسه قیمت و بسیاری از خدمات دیگر با یکدیگر کار می‌کنند تا فرصت‌های آسان رزرو را برای مسافران مهیا کنند. صنعت با استفاده از سیستم‌های توزیع جهانی (GDS) برای بررسی در دسترس بودن پرواز، مدام در حال بررسی است که اطمینان حاصل کند یک صندلی دوبار رزرو نشده است و غیره. GDS شدیدا با خدمات وب درآمیخته است اما این یکی شدن متاسفانه با بهترین حفاظت وب همراه نبوده است. به همین خاطر امروزه تکنولوژی GDS بهترین شرایط را برای سرقت‌های بزرگتر مجرمان فراهم کرده است.اگرچه حدود ۲۰ فروشنده GDS همچنان وجود دارند اما Nohl و Nikodijevic تمرکز خود را بر سه سیستم اصلی Sabre (سال تاسیس در ۱۹۶۰)، Amadeus (سال تاسیس در ۱۹۸۷) و Galileo ( در حال حاضر بخشی از تراول پورت است)، گذاشته‌اند. این سیستم‌های اداره بیش از ۹۰ درصد از رزرو پروازها و همچنین هتل‌ها، ماشین‌ها و دیگر رزروهای سفر را انجام می‌دهند.به عنوان مثال، پرواز لوفت هانزا و ایربرلین با آمادوس کار می‌کنند. اَمریکن ایرلاینز و خط هوایی Аeroflot روسیه با Sabre در حال ارتباط هستند. به هر حال اعتماد کردن به GDS برای مطمئن شدن از ذخیره خصوصی داده‌های مسافران کار سختی است. به عنوان مثال، اگر شما یک بلیط را روی خط هوایی Expedia آمریکا رزور کنید، هم آمادوس و هم سابره این معامله را ثبت می‌کنند.به خاطر قوانین وابسته به رزرو، GDS معمولا اطلاعاتی مانند نام مسافر، شماره تلفن، تاریخ تولد، اطلاعات پاسپورت، شماره بلیط، مبدا و مقصد و تاریخ و روز پرواز را ضبط می‌کنند. این اطلاعات همچنین شامل اطلاعات پرداخت ( مانند شماره کارت اعتباری نیز می‌شود). اگر بخواهیم در یک جمله بگوییم، GDS تمام اطلاعات حساس مسافر را ضبط می‌کند.Nohl و Nikodijevic اشاره می‌کنند که بسیاری از افراد به این اطلاعات که شامل کارکنان خطوط هوایی، اپراتورهای تور، نمایندگان تور و عوامل دیگر دسترسی دارند. محققان گمان می‌کنند که آژانس‌های دولتی به خوبی می‌توانند این اطلاعات را بخوانند. اما این فقط یک طرف ماجرا است.برای دسترسی و تغییر این اطلاعات، GDS با استفاده از نام یک مسافر به پر کردن نام کاربری و با نوشتن کد ۶ رقمی شماره پرواز( اکثر مسافران آن را با PNR می‌شناسند) به عنوان پسورد، لوگین می‌کنند. بله به همین راحتی است، PNR پرینت شده و بر روی چمدان شما چسبانده می‌شود. Nohl در این کنفرانس گفت: اگر قرار است PNR به عنوان یک رمز عبور امن باشد، پس می‌بایستی آن را حفظ کرد. اما متاسفانه آن‌ها متوجه این موضوع نیستند و آن را امن نگه نمی‌دارند و ما مشاهده می‌کنیم که بر روی هرجایی پرینت شده است. این بارکدی است که به راحتی می‌توان آن را به سرقت برد، پس باید مهم تلقی شود.اکثر مسافران چیز زیادی از عملکرد صنعت پرواز نمی‌دانند به طوری که آن‌ها مشتاقانه بلیط‌های خود را به همراه PNR پست می‌کنند و در اینستاگرام خود منتشر می‌کنند. شاید اگر آن‌ها می‌دانستند که خواندن این بارکد به راحتی توسط نرم‌افزارهای خاص امکان پذیر است، هرگز این کار را انجام نمی‌دادند. بنابراین هرکسی می‌تواند با استفاده از عکسی که شما از بلیط خود منتشر کرده اید به اطلاعات پرواز شما یا حتی به اطلاعات شخصی شما دست یابد. برای این کار نیاز به یک هکر حرفه‌ای برای یافتن آسیب پذیری‌های PNR نیست، فقط کافی است که مجرم بداند PNR چیست و شما کجا آن را منتشر کرده‌اید.علاوه بر این، بسیاری از خطوط هوایی و وب‌سایت‌های سفر، حساب کاربرانی را که چندین بار پست سر هم کد‌های اشتباه را وارد کرده اند را مسدود نمی‌کنند. در نتیجه، مجرمان می‌توانند به راحتی با در دست داشتن نام مسافر، PNR را حدس بزنند یا حتی اگر تمام شماره‌های آن در عکس واضح نباشد مابقی آن را حدس بزنند. این اصلا کار سختی نیست، PNR متشکل از ۶ رقم است و الگوریتم‌های تولید کد به راحتی می‌توانند آن را بسازند. به عنوان مثال برخی از آن‌ها دو کاراکتر تکراری دارند و همه PNR‌ها طبق اگویی خاص نوشته شده اند، به همین خاطر حدس زدن آن کاری آسان است. در کنگره آشفتگی ارتباطات، Nohl و Nikodijevic نشان دادند که هک PNR تنها چند دقیقه بیشتر طول نمی‌کشد.نتایج نشان می‌دهد که مجرمان می‌توانند از طریق GDS، داده‌های حساس مسافران را بدست آورند و از آن برای حملات پیشرفته فیشینگ استفاده کنند. این سناریو را در نظربگیرید: آقای اسمیت یک پرواز را به برلین رزرو کرده است و ۱۰ دقیقه بعد یک ایمیلی از طرف شرکت هواپیمایی او برایش با این عنوان ارسال می‌شود: "اطلاعات کارت اعتباری خود را وارد نمایید". این اطلاعات شامل نام، نام خانوادگی، مقصد، آپارتمانی که در آن قصد سکونت فعلی دارد و دیگر جزئیات می‌باشد. آیا این‌ها واقعی و قابل باور به نظر می‌رسند؟ حقیقتا بله! آقای اسمیت به احتمال خیلی زیاد بر روی لینک کلیک کرده و اطلاعات کارت اعتباری خود را وارد می‌کند، اما در حقیقت او به یک وب‌سایت جعلی متصل خواهد شد.همچنین با در دست داشتن یک PNR و داشتن برخی از اطلاعات شخصی دیگر، ممکن است هکرها قادر به تغییر داده‌های بلیط شوند. آن‌ها به راحتی می‌توانند بلیط را لغو کنند و پول را به حساب کاربری خود استرداد دهند. یا حتی می‌توانند نام، نام خانوادگی، شماره گذرنامه دارنده بلیط را تغییر دهند به طوری که شخص دیگری می‌تواند آن سفر را برود (خیلی عجیب است، اما تنها با تغییر این اطلاعات این امکان وجود دارد). مجرم محتاط یا سخاوتمند ممکن است به راحتی اطلاعات بلیط را تغییر داده و درخواست صدور بلیط مجدد کند. در نهایت با استفاده از PNR به عنوان پسورد، هکرها سفری رایگان بدون پرداخت هیچ مبلغی را تجربه خواهند کرد.در حال حاضر تنها توصیه‌ای که ما می‌توانیم برای شما داشته باشیم این است که هوشیار و گوش بزنگ باشید و هرگز بلیط و اطلاعات شخصی خود را بر روی شبکه‌های اجتماعی خصوصا اینستاگرام پست نکنید. حتی بلیط‌های قدیمی!منبع: کسپرسکی‌آنلاین


گروه های زیر مجموعه فناوری اطلاعات

فناوری شخصی
فناوری شخصی

آخرین اخبار

قرارداد ساخت 200 واگن باری در اراک امضا شد
اراک - ایرنا - مدیرعامل شرکت واگن پارس اراک گفت: قرارداد ساخت 200 واگن باری روز پنجشنبه با 2 شرکت داخلی به امضا رسید.
طرح اوقات فراغت در مسیر نیمکت به نیمکت
سنندج - ایرنا - طرح غنی سازی اوقات فراغت کودکان و نوجوانان از برنامه های داغ دستگاه های متولی در تابستان هر سال است که به علت عدم نیازسنجی، تخصص گرایی و توجه به سلایق مخاطبان عاملی بر نقل مکان جامعه هدف از نیکمت مدارس به نیمکت کلاس موسسه های آموزشی شده است.
ایمن سازی مدارس نیاز به 400 هزار میلیارد ریال دارد
اراک - ایرنا - رئیس جامعه خیرین مدرسه ساز کشور گفت: ایمن سازی و مرمت مدارس به 400 هزار میلیارد ریال اعتبار نیاز دارد.
63 جسد سانحه هوایی یاسوج شناسایی و تعیین تکلیف شده است
شیراز - ایرنا - مدیر کل پزشکی قانونی استان فارس با بیان اینکه تا کنون 63 جسد سانحه هوایی یاسوج شناسایی و تعیین تکلیف شده است گفت : 55 جسد به خانواده ها تحویل داده شده و 8 جسد نیز آماده تحویل است که طی روزهای آتی با طی شدن فرایند قانونی تحویل خانواده ها می شود.
یک نفر به جرم تحریک جوانان در حادثه ایرانشهر دستگیر شد
زاهدان - ایرنا - رئیس کل دادگستری سیستان و بلوچستان گفت: یک نفر به جرم تحریک مردم و تهیه مستندات برای رسانه های بیگانه در جریان تجمع شماری از مردم ایرانشهر برای رسیدگی به پرونده تجاوز، دستگیر شد.
گرانی خودرو، مقصر کیست
مشهد– ایرنا– این روزها بازار خودرو داغ است، آنان که پول سرگردانی دارند و به قول معروف نبض بازار هم دستشان است، به طمع کسب سودی از این آشفته بازار، خواسته و یا ناخواسته به گرانی خودرو نیز دامن می زنند.
28 درصد کشفیات مواد مخدر از سیستان و بلوچستان است
زاهدان - ایرنا - سرپرست شورای هماهنگی مبارزه با مواد مخدر سیستان و بلوچستان گفت: 28 درصد کشفیات مواد مخدر کشور در سال 96 با 227 تن به این استان اختصاص دارد.
پلاژهای دولتی وخصوصی مازندران به روی مردم باز می شود
ساری-ایرنا- جانشین طرح سالمسازی دریای مازندران گفت که سواحل پلاژهای دولتی و خصوصی برای استفاده مردم باز می شود.
چالش بیمه ها و بیمارستان ها - فرزاد نویدی**
کرمانشاه - ایرنا - در شرایطی که طرح تحول نظام سلامت به عنوان طرح حمایتی مالی برای بیماران، یکی از نقاط قوت دولت تدبیر و امید محسوب می شد اما به نظر می رسد تامین منابع مالی این طرح به خوبی پیش نمی رود.
پلیس هرمزگان 200 تن گوشت آلوده را توقیف کرد
بندرعباس - ایرنا - فرمانده انتظامی هرمزگان از کشف 200 تن گوشت وارداتی قرمز قاچاق آلوده به باکتری سالمونلا خبر داد.

پر بازدید ترین اخبار امروز

ابتکار در ورزشگاه آزادی بازی ایران و اسپانیا را دید
تهران - ایرنا - معاون امور زنان ریاست جمهوری برای دیدن بازی ایران اسپانیا ورزشگاه یکصد هزار نفری آزادی را انتخاب کرد تا در جمع شهروندان تهرانی این بازی را به تماشا بنشیند.
واکنش سعید عزت اللهی به باخت مقابل اسپانیا
سعید عزت‌اللهی پس از شکست یک بر صفر برابر اسپانیا گفت: بازی خوبی از خود به نمایش گذاشتیم و حتی می‌توانستیم به پیروزی هم دست پیدا کنیم، اما متأسفانه تا حدودی بدشانس بودیم.
شادی مردم تهران برای شکست غیرتمندانه مقابل اسپانیا
تهران - ایرنا - تیم ملی فوتبال ایران در دومین دیدار خود در جام جهانی 2018 روسیه در یک بازی خوب و غیرتمندانه با گل به خودی، مقابل اسپانیا قهرمان جهان شکست خورد تا مردم به پاس حمایت از تیم ملی ساعاتی در خیابان ها شادی کنند.
لایی وحید امیری به «پیکه» سوژه توییتری‌ها شد! +عکس
کاربران توییتری لایی دیدنی وحید امیری به جرارد پیکه را سوژه توییت‌های طنز خود کردند...
زننده گل اسپانیا: ایران تیم بسیار خوبی بود
تهران - ایرنا - زننده تک گل تیم ملی فوتبال اسپانیا، درباره بازی با تیم ایران در جام جهانی روسیه، آنرا سخت و بسیار دشوار عنوان کرد و گفت: ایران تیم بسیار خوبی دارد.