امکان سوءاستفاده هکرها از ناامنی سیستم رزرو بلیط‌های پرواز

18:21 ۳۶۹ روز و ۱۴ ساعت پیش ایتنا 214 0
امکان سوءاستفاده هکرها از ناامنی سیستم رزرو بلیط‌های پرواز

ایتنا - اینستاگرام به تنهایی شامل هزاران عکس از تصاویر کنسرت ها، پروازها و حتی بلیط‌های بخت آزمایی می‌باشد.

ایتنا

افراد عکس بلیط‌های خود را به صورت آنلاین پست می‌کنند. اما چرا نباید این کار را انجام دهند؟ اینستاگرام به تنهایی شامل هزاران عکس از تصاویر کنسرت ها، پروازها و حتی بلیط‌های بخت آزمایی می‌باشد.مطمئنا خیلی از شما که خواننده این وبلاگ هستید و تیتر این مقاله برای شما جذاب بوده است این کار را حداقل یکبار انجام داده اید، اما تاکید ما برای عدم این کار چیست؟در واقع، آخرین کاری که شما با خرید بلیط یا کارت پرواز خود انجام می‌دهید، پست گذاشتن آن بر روی اینستاگرام خود است. این تکه کاغذ شامل داده‌هایی است که به هر کسی اجازه می‌دهد تا بلیط شما را به راحتی به سرقت ببرد ( حقیقت این است که ما مبالغه نمی‌کنیم و این اتفاق به راحتی پیش خواهد آمد) یا حتی به راحتی می‌توانند شما را بازی دهد. چندی پیش ما در مورد اینکه چرا کاربران نباید اطلاعات بلیط‌های خود را با دیگران به اشتراک بگذارند صحبت کردیم. اما به تازگی محققان امنیتی Karsten Nohl و Nemanja Nikodijevic این موضوع را دو مرتبه در کنگره آشفتگی ارتباطات (۳۳С۳) مطرح کرده‌اند.خطوط هوایی، آژانس‌های مسافرتی، وب‌سایت‌های مقایسه قیمت و بسیاری از خدمات دیگر با یکدیگر کار می‌کنند تا فرصت‌های آسان رزرو را برای مسافران مهیا کنند. صنعت با استفاده از سیستم‌های توزیع جهانی (GDS) برای بررسی در دسترس بودن پرواز، مدام در حال بررسی است که اطمینان حاصل کند یک صندلی دوبار رزرو نشده است و غیره. GDS شدیدا با خدمات وب درآمیخته است اما این یکی شدن متاسفانه با بهترین حفاظت وب همراه نبوده است. به همین خاطر امروزه تکنولوژی GDS بهترین شرایط را برای سرقت‌های بزرگتر مجرمان فراهم کرده است.اگرچه حدود ۲۰ فروشنده GDS همچنان وجود دارند اما Nohl و Nikodijevic تمرکز خود را بر سه سیستم اصلی Sabre (سال تاسیس در ۱۹۶۰)، Amadeus (سال تاسیس در ۱۹۸۷) و Galileo ( در حال حاضر بخشی از تراول پورت است)، گذاشته‌اند. این سیستم‌های اداره بیش از ۹۰ درصد از رزرو پروازها و همچنین هتل‌ها، ماشین‌ها و دیگر رزروهای سفر را انجام می‌دهند.به عنوان مثال، پرواز لوفت هانزا و ایربرلین با آمادوس کار می‌کنند. اَمریکن ایرلاینز و خط هوایی Аeroflot روسیه با Sabre در حال ارتباط هستند. به هر حال اعتماد کردن به GDS برای مطمئن شدن از ذخیره خصوصی داده‌های مسافران کار سختی است. به عنوان مثال، اگر شما یک بلیط را روی خط هوایی Expedia آمریکا رزور کنید، هم آمادوس و هم سابره این معامله را ثبت می‌کنند.به خاطر قوانین وابسته به رزرو، GDS معمولا اطلاعاتی مانند نام مسافر، شماره تلفن، تاریخ تولد، اطلاعات پاسپورت، شماره بلیط، مبدا و مقصد و تاریخ و روز پرواز را ضبط می‌کنند. این اطلاعات همچنین شامل اطلاعات پرداخت ( مانند شماره کارت اعتباری نیز می‌شود). اگر بخواهیم در یک جمله بگوییم، GDS تمام اطلاعات حساس مسافر را ضبط می‌کند.Nohl و Nikodijevic اشاره می‌کنند که بسیاری از افراد به این اطلاعات که شامل کارکنان خطوط هوایی، اپراتورهای تور، نمایندگان تور و عوامل دیگر دسترسی دارند. محققان گمان می‌کنند که آژانس‌های دولتی به خوبی می‌توانند این اطلاعات را بخوانند. اما این فقط یک طرف ماجرا است.برای دسترسی و تغییر این اطلاعات، GDS با استفاده از نام یک مسافر به پر کردن نام کاربری و با نوشتن کد ۶ رقمی شماره پرواز( اکثر مسافران آن را با PNR می‌شناسند) به عنوان پسورد، لوگین می‌کنند. بله به همین راحتی است، PNR پرینت شده و بر روی چمدان شما چسبانده می‌شود. Nohl در این کنفرانس گفت: اگر قرار است PNR به عنوان یک رمز عبور امن باشد، پس می‌بایستی آن را حفظ کرد. اما متاسفانه آن‌ها متوجه این موضوع نیستند و آن را امن نگه نمی‌دارند و ما مشاهده می‌کنیم که بر روی هرجایی پرینت شده است. این بارکدی است که به راحتی می‌توان آن را به سرقت برد، پس باید مهم تلقی شود.اکثر مسافران چیز زیادی از عملکرد صنعت پرواز نمی‌دانند به طوری که آن‌ها مشتاقانه بلیط‌های خود را به همراه PNR پست می‌کنند و در اینستاگرام خود منتشر می‌کنند. شاید اگر آن‌ها می‌دانستند که خواندن این بارکد به راحتی توسط نرم‌افزارهای خاص امکان پذیر است، هرگز این کار را انجام نمی‌دادند. بنابراین هرکسی می‌تواند با استفاده از عکسی که شما از بلیط خود منتشر کرده اید به اطلاعات پرواز شما یا حتی به اطلاعات شخصی شما دست یابد. برای این کار نیاز به یک هکر حرفه‌ای برای یافتن آسیب پذیری‌های PNR نیست، فقط کافی است که مجرم بداند PNR چیست و شما کجا آن را منتشر کرده‌اید.علاوه بر این، بسیاری از خطوط هوایی و وب‌سایت‌های سفر، حساب کاربرانی را که چندین بار پست سر هم کد‌های اشتباه را وارد کرده اند را مسدود نمی‌کنند. در نتیجه، مجرمان می‌توانند به راحتی با در دست داشتن نام مسافر، PNR را حدس بزنند یا حتی اگر تمام شماره‌های آن در عکس واضح نباشد مابقی آن را حدس بزنند. این اصلا کار سختی نیست، PNR متشکل از ۶ رقم است و الگوریتم‌های تولید کد به راحتی می‌توانند آن را بسازند. به عنوان مثال برخی از آن‌ها دو کاراکتر تکراری دارند و همه PNR‌ها طبق اگویی خاص نوشته شده اند، به همین خاطر حدس زدن آن کاری آسان است. در کنگره آشفتگی ارتباطات، Nohl و Nikodijevic نشان دادند که هک PNR تنها چند دقیقه بیشتر طول نمی‌کشد.نتایج نشان می‌دهد که مجرمان می‌توانند از طریق GDS، داده‌های حساس مسافران را بدست آورند و از آن برای حملات پیشرفته فیشینگ استفاده کنند. این سناریو را در نظربگیرید: آقای اسمیت یک پرواز را به برلین رزرو کرده است و ۱۰ دقیقه بعد یک ایمیلی از طرف شرکت هواپیمایی او برایش با این عنوان ارسال می‌شود: "اطلاعات کارت اعتباری خود را وارد نمایید". این اطلاعات شامل نام، نام خانوادگی، مقصد، آپارتمانی که در آن قصد سکونت فعلی دارد و دیگر جزئیات می‌باشد. آیا این‌ها واقعی و قابل باور به نظر می‌رسند؟ حقیقتا بله! آقای اسمیت به احتمال خیلی زیاد بر روی لینک کلیک کرده و اطلاعات کارت اعتباری خود را وارد می‌کند، اما در حقیقت او به یک وب‌سایت جعلی متصل خواهد شد.همچنین با در دست داشتن یک PNR و داشتن برخی از اطلاعات شخصی دیگر، ممکن است هکرها قادر به تغییر داده‌های بلیط شوند. آن‌ها به راحتی می‌توانند بلیط را لغو کنند و پول را به حساب کاربری خود استرداد دهند. یا حتی می‌توانند نام، نام خانوادگی، شماره گذرنامه دارنده بلیط را تغییر دهند به طوری که شخص دیگری می‌تواند آن سفر را برود (خیلی عجیب است، اما تنها با تغییر این اطلاعات این امکان وجود دارد). مجرم محتاط یا سخاوتمند ممکن است به راحتی اطلاعات بلیط را تغییر داده و درخواست صدور بلیط مجدد کند. در نهایت با استفاده از PNR به عنوان پسورد، هکرها سفری رایگان بدون پرداخت هیچ مبلغی را تجربه خواهند کرد.در حال حاضر تنها توصیه‌ای که ما می‌توانیم برای شما داشته باشیم این است که هوشیار و گوش بزنگ باشید و هرگز بلیط و اطلاعات شخصی خود را بر روی شبکه‌های اجتماعی خصوصا اینستاگرام پست نکنید. حتی بلیط‌های قدیمی!منبع: کسپرسکی‌آنلاین


گروه های زیر مجموعه فناوری اطلاعات

فناوری شخصی
فناوری شخصی
كامپيوتر همراه
كامپيوتر همراه
شبكه و امنيت
شبكه و امنيت
تنظيم مقررات
تنظيم مقررات
موبايل
موبايل
مخابرات
مخابرات
اپراتورها
اپراتورها
ماهواره و فضا
ماهواره و فضا
قطعات
قطعات
 نرم افزار
نرم افزار
ميزباني وب
ميزباني وب
تجارت الكترونيك
تجارت الكترونيك
سيستم عامل
سيستم عامل
مديريت ICT
مديريت ICT
بازی
بازی
وب ايراني
وب ايراني
لوازم جانبی
لوازم جانبی
روبوتيك
روبوتيك
وب و اينترنت
وب و اينترنت
امنيت
امنيت
اينترنت
اينترنت
ويروس
ويروس
سخت افزار
سخت افزار
بانكداری الكترونيك
بانكداری الكترونيك
شبكه اجتماعي
شبكه اجتماعي
برنامه نويسي
برنامه نويسي
اخبار داخلی
اخبار داخلی

آخرین اخبار

انتخاب همسر خوب، چگونه؟!
امروزه، ما با انتخاب‌های بی‌شماری مواجه هستیم. برخلاف دوران گذشته، با حق انتخاب‌های فراوانی مواجه هستیم. حتی برای خریدن یک «جوراب» هم از بین چند نوع مختلف، بهترین جوراب را انتخاب می‌کنیم.
پاسخ به داستان‌سرایی های ژول ورنی درباره سانچی
کشتی نفتکش سانچی متعلق به ایران، روز ۱۶ دی در حالی که ۱۳۶ هزار تن میعانات گازی را از ایران به مقصد کره‌جنوبی حمل می‌کرد، در آب‌های چین پس از برخورد با کشتی فله بر چینی به نام «سی اف کریستال» دچار آتش‌سوزی شد و ۳۲ نفر از پرسنل آن مفقود شدند. این کشتی به مدت هشت روز در آب های اقیانوس می‌سوخت در حالی که تلاش ها برای خاموش کردن آتش سوزی ادامه داشت و امیدها برای زنده ماندن پرسنل آن ناامید نشد.
فیلم: ۵ ترفند خانه داری به درد بخور
این ترفندهای خانه داری را یاد بگیرید تا زندگی برایتان آسان تر شود.
چگونه زیبایی درون‌تان را بروز دهید
به گفته‌ی کارشناسان، این درخشش و زیبایی درون‌تان است که به شما احساسی فوق‌العاده داده و اطرافیان را جذب‌ می‌کند، فقط باید آن را پرورش بدهید. در این مطلب توصیه‌هایی برای‌تان داریم تا بتوانید با زیبایی درون خود بدرخشید، هم پیش خودتان و هم نزد دیگران!

پر بازدید ترین اخبار امروز

روستائیان برای گرفتن وام اشتغال چقدر پول نقد داشته باشند؟
مدیرعامل صندوق کارآفرینی امید گفته که روستائیان برای گرفتن وام جدید اشتغال باید تا سقف ۲۰ درصد تسهیلات آورده نقدی داشته باشند.
فقط 1 کاسب پلاسکو وام 300 میلیونی گرفت؟
درحالی رئیس ­­اتحادیه پیراهن‌دوزان گفته، از ۱۲۰ کسبه پلاسکو فقط ۱ نفر وام ۳۰۰ میلیونی را گرفته که دبیر شورای هماهنگی بانک های دولتی هم بدون اینکه تعداد وام های پرداخت شده را دقیق اعلام کند، گفته تاکنون برای ۲۹ نفر معرفی نامه صادر شده است.
افشای پُشت‌پرده جوسازی برای گرانفروشی مسکن
معاون وزیر راه و شهرسازی با اعلام این‌که سودآوری بازار مسکن کمتر از سودآوری بانک است از تلاش عده‌ای سودجو برای بر هم زدن جو آرام مسکن پرده برداشت و گفت: این اطمینان را می‌دهم که در ماه‌های پیش‌رو از سال ۹۶ و سال آینده جهش‌های قیمتی نخواهیم داشت.