‘Reisboekingen zijn veel te makkelijk te hacken’

Reserveringssystemen waarin vliegtickets worden geboekt, zoals Travelport, Sabre en Amadeus, moeten hun beveiliging flink opschroeven. Dat is de conclusie van het Duitse hackerscollectief Security Research Labs. 

Het gros van de reisboekingen wordt nog altijd via de grote reisdistributiesystemen (GDS’en) Amadeus, Sabre en Travelport gedaan. Deze systemen werden veertig jaar geleden gebouwd rond mainframe computers en vaste inbelverbindingen. Inmiddels zijn er koppelingen gemaakt met webservices, maar de bijbehorende beveiligingsmaatregelen zijn niet getroffen, aldus de Duitse hackers.

Het grootste probleem is de authenticatie van de reiziger. Dat gebeurt bij alle drie de GDS’en door middel van de boekingscode, die uit zes cijfers en/of nummers bestaat. Deze code wordt ook nog eens afgedrukt op de instapkaart en bagagelabels. Iedereen die daar een foto van maakt, heeft toegang tot de gegevens van de reiziger, inclusief het e-mailadres en telefoonnummer.

De manier waarop de boekingscodes worden gekozen maakt ze bovendien gemakkelijk te hacken. “Twee van de drie GDS’en geven de boekingscodes sequentieel af, waardoor het zoekgebied verder wordt verkleind. En veel GDS’en en websites van luchtvaartmaatschappijen staan het toe dat je vanaf één IP-adres duizenden boekingscodes probeert. Ook als je alleen de achternaam van de passagier hebt, kun je eenvoudig hun boekingscode van internet afhalen,” stelt Security Research Labs.

Privacy reiziger in gevaar

Dit betekent dat allereerst dat de privacy van de reiziger gevaar loopt. Kwaadwillenden hebben toegang tot contactgegevens, reisdata en -voorkeuren en vaak ook paspoortinformatie. Verder kunnen zij vluchten annuleren en de restitutie in eigen zak steken, gespaarde mijlen stelen en de gegevens gebruiken voor phishing.

Volgens Security Research Labs moeten de GDS’en op de korte termijn alle websites die toegang geven tot informatie van reizigers beveiligen tegen ‘brute force’ aanvallen in de vorm van Captchas en een beperkt aantal invoerpogingen per IP-adres. Op de middellange termijn moeten de boekingen worden beschermd met op zijn minst een veranderbaar wachtwoord, is de aanbeveling van de hackers.

Amadeus onderzoekt de kwestie

In Nederland domineren Amadeus en Travelport de GDS-markt. Amadeus laat weten de kwestie serieus te nemen en te onderzoeken. “Wij geven de hoogste prioriteit aan de beveiliging van klantsystemen en -data en onze systemen en processen worden continu geëvalueerd. Wij zullen deze bevindingen meenemen en samen met onze partners in de industrie naar oplossingen zoeken voor potentiële problemen. Overigens beschermt Amadeus haar systemen, inclusief Check My Trip, tegen de geautomatiseerde robotaanvallen die in dit rapport worden besproken. Als we een specifiek probleem vinden, lossen we dat op.”

Amadeus wijst er voorts op dat zij meerdere ‘verdedigingslijnen’ heeft om informatie te beschermen, conform de ISO-standaarden en de Cybertrust Security Management Programme Perimeter Certification. “Cyberdreiging is een zakelijk gegeven. Elke commerciële en overheidsinstantie heeft te maken met aanvallen op hun IT-systemen. Amadeus is daarop geen uitzondering. Dus heeft de beveiliging van onze systemen en de data en informatie die daarin zijn opgeslagen de hoogste prioriteit.”

Travelport: ISO 27001

Cybersecurity en de privacy van klantdata zijn ook ‘kritieke prioriteiten’ voor Travelport, laat een woordvoerster weten. “We zijn koplopers op dit gebied. Wij investeren continu in onze systemen en werken samen met allerlei brancheverenigingen om aanbevolen veranderingen door te voeren die het digitale reisboekingsecosysteem ondersteunen. Onze focus werd eerder dit jaar erkend toen we als eerste GDS ISO 27001-gecertificeerd werden, wat onze toewijding onderstreept aan het managen van zowel onze data als die van onze klanten wereldwijd.”

Sabre tot slot wil niet ingaan op de beveiligingsmaatregelen die zij treft. “We hebben verschillende securitylagen. Wij doen geen uitspraken over hoe wij omgaan met security en de privacy van de reizigers. Dat zou de beschermingsmaatregelen en de beveiliging van onze systemen ondermijnen.”