Hacker dễ dàng "cướp" vé máy bay của hành khách

Truyền thông Đức vừa phanh phui một thủ đoạn chiếm đoạt vé máy bay mua qua mạng của hành khách

Theo đài DW (Đức), các chuyên gia bảo mật mạng ở Đức vừa phát hiện một lỗ hổng bảo mật bị tin tặc lợi dụng, chiếm đoạt các vé máy bay đặt mua qua mạng của hành khách, gây ra nhiều tổn thất cho cả hành khách lẫn các hãng hàng không.

Trên thực tế, hàng triệu người hiện đang chọn cách đặt vé máy bay qua mạng. Với mã số đặt chỗ có 6 ký tự, hành khách chỉ cần thao tác rất đơn giản và tiện lợi để có thể làm thủ tục đăng ký (check-in), chọn chỗ, thuê trước ô tô hoặc thậm chí là đổi giờ bay.

Mặc dù mã đặt chỗ 6 ký tự này tạo sự thuận tiện tối đa cho khách hàng, nhưng đây lại cũng là một trong những kẽ hở an ninh bị tin tặc lợi dụng.

Báo Süddeutsche Zeitung và đài truyền hình WDR của Đức vừa công bố thủ đoạn cho thấy các tin tặc có thể chiếm đoạt những mã đặt vé máy bay, sau đó thay đổi thông tin khách hàng và cướp một chuyến bay "miễn phí" đơn giản như thế nào.

Ông Karsten Nohl, sáng lập viên kiêm giám đốc hãng bảo mật Security Research Labs (SR Labs) đã thao tác lại thủ đoạn đánh cắp này của tin tặc với các phóng viên của báo Süddeutsche và đài WDR bằng cách tiến hành "lấy trộm" vé máy bay của chính các phóng viên đó.

Theo đó, các chương trình máy tính được tin tặc sử dụng có khả năng lùng tìm được các mã đặt chỗ 6 ký tự chỉ trong vài phút. Sau đó chúng sử dụng các mã này để truy cập vào phần đặt chỗ ban đầu của hành khách, đổi giờ bay và địa chỉ email.

Với các khâu làm thủ tục check-in trực tuyến tiện dụng và chế độ tự do đi lại trong khối Schengen của châu Âu, hầu hết các hành khách châu Âu hiếm khi phải trình hộ chiếu của họ trong quá trình di chuyển đường không ở khu vực miễn hộ chiếu.

"Thực sự mọi người đều có thể làm việc này, ngay cả những người không có chút kỹ năng tin học đặc biệt nào cũng có thể đánh cắp được một chuyến bay miễn phí" Ông Karsten Nohl, giám đốc hãng bảo mật Security Research Labs. Chuyên gia bảo mật nói: "Hệ thống đặt vé thiếu một tính năng bảo mật mà chúng ta biết cần có ở tất cả các hệ thống máy tính khác, đó là mật khẩu (password)".

Hệ thống đặt vé trực tuyến của các hãng bay không yêu cầu hành khách phải nhập mật khẩu (password) khi họ muốn thay đổi thông tin cá nhân hay bổ sung thêm yêu cầu thuê xe. Họ chỉ cần nhập mã đặt vé và tên đầy đủ là xong.

Các lỗ hổng an ninh trong hệ thống quy trình đặt vé và mã đặt vé cho thấy những nguy cơ nghiêm trọng đối với các vấn đề bảo mật và quyền riêng tư của hành khách. Theo chuyên gia Nohl, đây là một vấn đề phổ biến trong toàn ngành. Ông Nohl cũng nói, một giải pháp khả thi cho vấn đề này là các hãng bay hoặc các nhà cung cấp dịch vụ đặt vé trực tuyến nên triển khai những biện pháp bảo mật, ví như áp dụng các mật khẩu (password) có thể thay đổi.