Cảnh báo: Chỗ ngồi trên máy bay có thể bị hacker lấy mất chỉ bằng mã thẻ hành lý

Không những vậy, toàn bộ thông tin cá nhân của bạn liên quan đến chuyến bay cũng có thể bị ảnh hưởng bởi nguy cơ này.

Dịp đầu năm là lúc thích hợp để bạn bắt đầu nghĩ về các chuyến du lịch và tận hưởng những trải nghiệm thú vị. Với Internet, quá trình đặt vé máy bay đã trở nên đơn giản hơn bao giờ hết. Hoàn thành việc đặt vé máy bay đến nơi mình muốn xong, có lẽ giờ là lúc bạn nên thư giãn chờ đến lúc tận hưởng chuyến đi của mình? Hầu hết các trường hợp là như vậy, nhưng đừng vội mừng, chỗ ngồi trên máy bay chưa chắc đã là của bạn đâu, hay ít nhất cho đến khi hacker quyết định như vậy.

Karstein Nohl và Nemanja Nikodejevic, hai thành viên của hãng bảo mật tại Đức, Security Research Labs, đã tiết lộ một cách thức cho thấy, hệ thống đặt vé đi du lịch đang bảo vệ chúng ta có thể dễ dàng bị can thiệp như thế nào. Trên thực tế, cả ba hệ thống GDS (Global Distributed System) chịu trách nhiệm xử lý các thông tin chuyến bay để phục vụ việc du lịch toàn cầu đều có thể bị khai thác một cách dễ dàng theo nhiều cách khác nhau.

Amadeus, Sabre và Travelport là 3 hệ thống xử lý hơn 90% thông tin các chuyến bay. Theo các nhà nghiên cứu, các hệ thống này đã tồn tại từ những năm 1970 hay 1980, và chỉ được tích hợp một phần với cơ sở hạ tầng web hiện đại hơn thay vì thay thế chúng hoàn toàn. Điều này có nghĩa là, cách xác thực trong hệ thống cũ kỹ mấy chục năm tuổi này rất yếu so với kỹ thuật tấn công hiện đại.

Mã PNR có thể dễ dàng bị xác định chỉ bằng ảnh chụp.
Mã PNR có thể dễ dàng bị xác định chỉ bằng ảnh chụp.

Mỗi khách du lịch trên hệ thống GDS sẽ được định danh bởi một mã 6 ký tự, đồng thời cũng là mã đặt vé (còn được gọi là mã định vị PNR). Mã số định danh (ID) này được in vào thẻ lên máy bay và thẻ hành lý, nghĩa là bất kỳ ai đứng gần hành lý của bạn hay thẻ lên máy bay của bạn, có thể thấy và chụp lại chúng bằng smartphone.

Với mã ID đó, tất cả thông tin về khách du lịch có thể bị truy cập, bao gồm địa chỉ nhà và email, số điện thoại, thông tin thẻ tín dụng, số chuyến bay, và địa chỉ IP bạn dùng khi đặt vé máy bay trực tuyến.

Tồi tệ hơn, hacker còn không cần đến một ID cụ thể để tìm thông tin khách du lịch hợp lệ. Cả GDS và các website của những hãng hàng không thường không giới hạn số lần bạn kiểm tra mã code, nghĩa là một cuộc tấn công kiểu vét cạn (brute-force) có thể được sử dụng để tìm ra mã số hợp lệ để sử dụng.

Thậm chí việc tìm được một hành khách cụ thể nào đó là tương đối dễ dàng, bởi vì các mã ID được sắp xếp một cách tuần tự, làm rút ngắn một cách đáng kể số lượng ID mà hacker cần tìm kiếm trong một khung thời gian cụ thể.

Hàng loạt thông tin về hành khách đi máy bay có thể bị khai thác một cách dễ dàng qua GDS.
Hàng loạt thông tin về hành khách đi máy bay có thể bị khai thác một cách dễ dàng qua GDS.

Việc dễ dàng có được chi tiết thông tin cá nhân của bạn sẽ mở ra rất nhiều nguy cơ đáng ngại hơn nữa. Nohl và Nikodejevic giải thích rằng điều này sẽ cho phép hacker ăn cắp chuyến bay của bạn, bằng cách thay đổi hoặc hủy chuyến bay mà bạn không hề biết, và sau đó nhận được một voucher có thể sử dụng cho một chuyến bay khác trong tương lai.

Số dặm bay thường xuyên mà bạn tích lũy được cũng có thể bị lấy mất. Thêm vào đó là rủi ro về một cuộc tấn công lừa đảo, có thể thực hiện thành công khi hacker biết được bạn đang trong một kỳ nghỉ dài ngày, và đây có thể là kịch bản tồi tệ nhất.

Tuy nhiên, giải pháp cho những rủi ro này rất đơn giản: bảo mật tốt hơn. Các nhà nghiên cứu khuyến khích các dịch vụ trực tuyến hạn chế số lần truy cập vào các thông tin du lịch cho mỗi địa chỉ IP, cũng như sử dụng Captcha để giúp ngăn chặn các cuộc tấn công vét cạn. Thay thế mã số 6 ký tự cũng là một giải pháp tốt, nhưng dường như nó sẽ mất nhiều thời gian hơn để thực hiện.

genk