不付钱,拿别人的机票坐飞机,这听起来不可思议的事对电脑专家来说却是信手拈来,不费吹灰之力。因为一般的票务系统存在一个严重安全漏洞,专家甚至认为,任何人都有可能轻易在网上改动别人的机票。
最近一万多位电脑专家及电脑爱好者在汉堡参加了第33届“混乱电脑俱乐部”(CCC)黑客大会,安全调查公司(Security Research Labs)创始人兼老板Karsten Nohl现场演示,如何通过电脑技术,进入票务系统,获得一张免费机票。
他并不是教人如何做违法的事,而是提醒大家,现有票务系统不安全。
没密码 任何人都能蹭飞机
据《南德意志报》报导,Nohl在汉莎航空的网站上,通过一个电脑软件测试不同的组合编号,很快就登陆成功,那是一张从柏林飞往法兰克福的机票。Nohl从航空公司网站上找到一个适合的时间,改了日期,又把用户的邮箱地址也修改了。他解释,这样“就没人知道了”。
现在乘客可以自己打印机票,在网上办理登机手续,然后前往机场,登上飞机。在欧洲申根区,没人查护照,因此也就没人知道,他其实没付一分钱。
Nohl表示,“真的每个人都能做到”,只要懂得电脑知识,都能通过这个方式搭免费飞机。在汉堡会议上,Nohl成功操纵了一位记者的机票。
据这位专家解释,这些票务系统致命的一个漏洞是缺少密码保护。乘客定了机票,会得到一个六位由大写字母和数字组合而成的订票编号。乘客要更改信息,不需要输入密码,而是通过自己的名字和编号登陆系统。这过程非常方便,但有一个不足:黑客可在几分钟内拿走你的机票。
掌握两个信息 几分钟破解订票编号
据报导,许多航空公司使用Amadeus公司的票务系统来提供机票信息,包括汉莎航空和柏林航空公司。该系统最初是在1987年由汉莎航空、法兰西航空、西班牙航空(Iberia)和北欧航空(SAS)共同成立的。Amadeus自称,2015年有约7.5亿乘客(包括火车乘客)使用了该票务系统,收益超过7.5亿欧元。
Nohl表示,Amadeus系统每天给乘客提供一两百万订票编号,他几乎都能知道有哪些编号,因为它们是按顺序排列的。他只需要掌握两个信息:乘客的姓氏和订票时间,就可以在几分钟之内破解编号。
这些票务系统还有一个漏洞,据Nohl解释,那就是大量输错编号的时候,也“不会产生什么后果”。有些网站的安全措施做得比较好,会杜绝这种情况;但只要有网站不加防范,黑客就能得逞。Nohl表示,只要所有网站都采取防范措施,黑客就无可乘之机。
德国航空交通经济联盟表示,航空公司的电脑系统“经常检查安全漏洞”,一台电脑发出过量的查询,会被封锁。汉莎和柏林航空也属于该联盟的成员。但Nohl和他的同事则反驳,他们一个星期经常测试几百万个编号,而电脑并未遭到封锁。
大选年 谨防黑客干扰选举
混乱电脑俱乐部(Chaos Computer Club)号称欧洲最大黑客团体,每年会议都会提出黑客最新的技术。往年曾介绍过如何利用照片复制指纹,提醒人们仅靠指纹辨识的安全系统会有漏洞。
今年年会为期四天,主题是“Work for me”(为我工作)。除了展示黑客攻破票务系统的技术外,还有其它有关经济、政治、伦理、社会、软件和沟通技术等话题。
例如,一位黑客专家对《图片报》介绍他研究尾气操纵软件的经验。他在大众尾气丑闻曝光后特意在自己汽车上也装了这种控制软件,并研究其如何操纵尾气测试。
2017年德国大选是政治上的重要活动。黑客会议也讨论,如何保证选举不受干扰地进行。德国去年遭遇几起网攻,有专家指出,俄罗斯黑客很有可能伺机干扰大选,并建议采取一切措施,保障民主选举,包括放弃使用电子投票设备。
大纪元记者祝兰德国报导
责任编辑:余平
