利用订票系统漏洞，免费飞遍全球

人们有时会在网上发布机票照片。为什么不应该这样做呢？单单Instagram上就有数以千计的演唱会门票、机票的照片，甚至还有彩票的照片。

即然所有人都在这样做，为什么您不应该做？

事实上，你绝不应该在网上发布机票或登机牌照片。通过机票或登记牌中所含的数据，任何人都能盗用你的机票（这绝不是夸大其辞！）、累积里程，甚至对你采用卑劣的行径。一年多前，我们曾讨论过人们利用票务信息能开哪类恶劣的玩笑。最近，安全研究人员Karsten Nohl和Nemanja Nikodijevic在”混沌通信大会”（33С3）上再次旧话重提。

航空公司、旅行社、比价网及其他许多服务密切配合，为乘客提供了方便的订票机会。该行业中通过全球分销系统（GDS）来检查航班订座情况，确保座位不被重复预订，此外还能执行很多业务。GDS与Web服务紧密交织在一起，但却未采用最卓越的Web保护措施。结果，如今的GDS技术在防御方面仍然过时，成为犯罪分子的巨大攻击面。

虽然目前大约有20家GDS供应商，但安全研究人员Nohl和Nikodijevic重点关注的是三个主要系统：Sabre（成立于1960年）、Amadeus（成立于1987年）和Galileo（现在是Travelport旗下的一个单元）。这三大系统管理着超过90%的航班预订以及酒店、汽车和其他旅行预订业务。

例如，汉莎航空公司和柏林航空与Amadeus及旅游公司Expedia携手合作。美国航空和俄罗斯国家航空则与Sabre合作密切。但不管怎样，都很难有把握地判断出哪个GDS存储了某个特定乘客的私人数据：例如，如果您在Expedia上预订了美国航空航班的机票，那么Amadeus和Sabre都会记录该笔交易。

根据预订系统的规则，GDS记录中通常包含乘客的姓名、电话号码、出生日期和护照数据，以及机票号、出发地和目的港、航班日期和时间。此外还包含付款信息（如信用卡号）。也就是说，记录中含有相当敏感的信息。

Nohl和Nikodijevic指出，很多人都有权访问这些数据，包括航空公司职工、旅行社、酒店代表和其他代理等。研究人员假设政府机构也可以读取这些数据。但这仅仅只是冰山的一角。

要访问和更改这些信息，GDS要求使用乘客的姓名作为登录名，将6位数的预订代码（大多数乘客称其为PNR码）作为密码。没错，PNR码就是公开印在登机牌和行李标签上的代码，而且会用作密码。

Nohl在会上表示：”如果PNR码理因是安全密码，那么就应该像密码一样对待。但实际上PNR码根本就不保密：它会印在每件行李上，以前还会印在登机牌上。后来登机牌上不再出现PNR码，取而代之的是条形码。”然而条形码中仍然含有PNR码。

绝大多数乘客并不了解航空业的内部运作情况，所以他们会在网上热心地发布含有PNR码的机票，其中PNR码被加密成条形码。然而，条形码并不神秘；通过特殊软件就可以进行读取。因此，任何人都可以通过在机场对您的行李标签拍照，或者在线查找您的机票，从而访问您的私人数据。您不必是黑客就能利用PNR码漏洞 – 你只需要知道在哪里可以找到PNR码。在下面的视频中，您可以看到Nohl和Nikodijevic是怎样通过Instagram上发布的一张机票照片，对机票上的条形码进行解码的。

此外，许多航空公司和行程核查网站不会阻止多次输入错误代码的用户。结果，犯罪分子只需选择常见的姓氏（如Smith）就能强力攻破这些乘客的PNR码。实际操作起来并不困难：代码由六个数字组成，代码生成算法往往会有某些弱点。例如，其中一些算法是按顺序迭代前两个字符，并且在特定日期生成的所有PNR码都以相同的字符开头。有些提供商会对特定航空公司使用特定的代码。这些做法使得攻击者猜测的数字范围大大缩小。

在混沌通信大会上，Nohl和Nikodijevic当场演示了攻破PNR码只需要几分钟时间。在该视频大约30到45分钟的地方，你会看到对此的详细解释以及整个过程的即时演示。

结果是，罪犯分子可利用GDS获取敏感的乘客数据，然后将这些数据用于高级网络钓鱼。假设有下面这种情况：史密斯先生预订了飞往柏林的航班，10分钟后他收到航空公司的电子邮件，要求他确认信用卡信息。邮件中包含他的姓氏、目的港和其他准确的预订详情。这封邮件看起来可信吗？那是当然的！史密斯先生很可能会点击电子邮件中的链接，并提供自己的信用卡信息 － 但实际上这些信息会转入到一个假冒网站。

此外，使用PNR码并搜索了其他一些个人数据后，黑客还能够改变机票数据。他们可以取消机票，并将款项退还到自己的帐户。也可以更改持票人姓名和护照号码，这样就能换个人去搭机（很令人惊讶吧，但某些服务支持这样做）。更小心或仁慈些的犯罪分子可能只是更改飞行常客的数据，获取原始机票所有者所攒的里程。从根本上说，通过将PNR码用作密码，GDS基本上算是为黑客提供了免费的航班、无限的飞行里程，甚至大把的金钱。

还有一个非常令人失望的事实是：尽管专家和媒体近年来多次提出这个问题，但GDS公司仍然拒绝记录PNR码访问权。这就是为什么绝大多数被盗案例无法追踪的原因。甚至对于犯罪分子直接盗用乘客机票和受害者进行的相关投诉等，也几乎没有几件为人所知。至于更加智能的欺诈和数据窃取，专家们表示受影响的范围不可估量。

Nohl和Nikodijevic肯定地表示，客户别指望这一切能很快发生彻底改变，因为这需要重写整个预订系统。可悲的是，唯有PNR码欺诈行为大肆泛滥时，才能逼迫航空公司采取行动重写系统。

目前，我们建议采取两个简单的办法：一是保持警惕，二是绝不在网上公开登机牌。即便是一张旧机票，也会透露出你的许多个人信息。