‹ Alle Einträge

Was die Bordkarte von Ihnen preisgibt

 
Was die Bordkarte von Ihnen preisgibt
Was bedeuten die Codes auf Ihrer Bordkarte? Foto: dpa

Es gibt genau eine Bordkarte, die Sie mit einigermaßen gutem Grund aufheben können: die erste Ihres Lebens. Sie macht sich gut im Fotoalbum der Reiseerinnerungen. Alle nachfolgenden Flugtickets nehmen nur Platz weg. Sie taugen nicht einmal als Einkaufszettel – es ist zu wenig freier Platz. Also: ab in den Müll damit. Oder nein: besser schreddern – das empfiehlt jedenfalls der Washington-Post-Reporter Brian Krebs in seinem Blog Krebs on Security.

Der Barcode einer Bordkarte enthalte Daten, die auslesbar seien – im Prinzip für jedermann. Es gebe Websites, die die Daten decodieren können. Über den Strichcode könne man nicht nur den Namen des Passagiers und einige Flugdaten herausfinden – die stehen in der Regel auch ausgeschrieben auf jedem Ticket. Sondern auch Daten, die es erlauben, sich – je nach genutzter Fluggesellschaft – in den Kundenaccount eines Vielfliegers einzuloggen, Sitzplätze zu tauschen und sogar zukünftige Flüge zu canceln.

 

6 Kommentare

  1.   Lenticularis

    Boah ey! Eine völlig neue Dimension von absolut nichts sagendem Text. Gratulation! So perfekt bekommen das nicht mal Wohnungsmakler hin. Dass ich das noch erleben darf!

  2.   Guido

    Wenn man denn einen Artikel dazu verfasst, dann kann man den doch so schreiben, dass Otto-Normalverbraucher das Problem auch versteht und einen Nutzwert daraus ziehen kann. Das ergibt in diesem Fall auch keine hochkomplizierte technische Abhandlung. In der Regel finden sich auf Bordpässen übrigens keine „Strichcodes“ mehr sondern Data-Matrix-Codes.

    Das eigentliche Problem ist, das einige Airlines in den Data-Matrix-Code die Buchungsreferenz einkodieren. Die Buchungsreferenz (aka „Record Locator“, „Confirmation number“, ..) ist typischerweise eine 6stellige alphanumerische Zeichenfolge, die auch auf Buchungsunterlagen meist hervorgehoben dargestellt wird, z.B. FYX7D3. Mit Hilfe von Online-Services kann jeder den Data-Matrix-Code auslesen und sich die darin gespeicherten Informationen anzeigen lassen. Ebenfalls auf dem Bordpass und teilweise auch im Data-Matrix-Code steht der Nachname.

    Mit Buchungsreferenz und Nachname kann man sich bei den meisten Airlines online einloggen. In der Regel funktioniert damit mindestens der Online-Checkin und die Verwaltung des Flugtickets. Da sieht man ggf. weitere Flugabschnitte auf dem selben Ticket und Mitreisende unter der selben Buchungsreferenz usw. Man kann ggf. Sitzplätze ändern, ausstehende Flugabschnitte stornieren, die Essenauswahl ändern, usw. Das ist in der Praxis natürlich eine gravierende Sicherheits- und Datenschutzlücke, die aber vor allem an die Airlines und weniger an die Passagiere adressiert werden sollte.

  3.   PWeierstrass

    Es gab am letzten Chaos Communications Congress einen Vortrag über die Daten, die im Passagierflugverkehr erhoben, verarbeitet und weitergeleitet werden. Leider hatte der Vortragende seinen Vortrag wahrscheinlich nicht vorher geübt, weswegen er wegen Überlänge abgebrochen wurde, und nicht alle Themen beleuchtet werden konnten: http://www.youtube.com/watch?v=XT5g5y5CoLE

    Im US-Flugverkehr bedeutet übrigens ein „SSSS“ auf der Bordkarte, dass die Person für gründlichere Sicherheitskontrollen rausgepickt wird.

  4.   MF

    Das gilt für den Online-Schnäppchenjäger.
    Wer seine Flugpassagen im Reisebüro bucht, hat weniger daten in den Buchungen der Fluglinien, insbesonndere Adressen, Zahlungs-, und Kredittscoredaten.

  5.   gruebler1836

    wow, was steht da auf der Homepage:
    In-dept security news and investigation.
    Klingt toll, aber was dann da im Original steht ist kompletter Kindergarten und wird hier im Artikel auch genau so zelebriert: „Der Barcode einer Bordkarte enthalte Daten, die auslesbar seien – im Prinzip für jedermann.“ Boah, ich bin erschüttert. Obwohl, irgendwie drängt sich doch die Frage auf: Wozu sollte denn sonst bitteschön ein Barcode verwendet werden?
    Und dann sollte man auch noch, wie dieser Herr Krebs meint, den Barcode mit dem Handy fotografieren und dann zu irgendwelchen Onlineportalen hochladen – gute Güte wie umständlich ist das denn, eine simple Barcode-Reader-App tut’s doch auch. Für liebe Kinder: So eine App muss man erst installieren, falls nicht eh schon auf dem Handy. Danach: Draufhalten, lesen.
    Der gute Sicherheitsmann hat allerdings vor lauter Barcode wohl leider völlig übersehen: das ganze Barcode-Gedödel ist überhaupt nicht nötig. Reicht doch ganz einfach Nachname und Buchungscode (zumindest bei der Lufthansa). Und beides steht auf dem Ticket, gedruckt, in Klartext.
    Könnte womöglich tatsächlich einer mit diesen Daten auf Amadeus nachsehen, wann ich wieder zurückfliege. Eine wichtige Information.
    Oder gleich auf dem Lufthansa-Portal direkt in meine Buchung rein, den Sitzplatz meines Rückflugs ändern und mir irgend so ein scheußliches Sonderessen bestellen.
    Schlimm. Also wirklich, ich wette, das passiert gaaaanz oft. Und vermutlich ist auch jeder Vielflieger generell so voll total dämlich, vor oder gar beim Online-Boarding nie gegenzuchecken, ob alles noch stimmt.
    Also, doch, ja: Wirklich eine schlimme Sicherheitslücke. Bin schon auf die nächste Lücke gespannt, die der Herr auftut. Äh, findet.
    /sarkasm off/

  6.   gruebler1836

    @ MF und Guido:
    1. im Reisebüro werden die für Ihr Flugticket relevanten Daten genau so erhoben und an die Airlines weitergeleitet, als würden Sie das selbst zuhause am PC machen – sonst könnte die Buchung gar nicht erfolgen. Der Unterschied ist nur, dass dann halt Ihr Reisebüro die Daten auch noch hat.
    2. Buchungsreferenz und Nachname sind innerhalb der Buchungssysteme ausreichend um die Buchung zu bestimmen, bei Gruppenbuchungen geht es dann ggf. noch um Individuen die anhand ihrer kompletten Namen plus Etix (oder was auch immer) näher bestimmt werden. Das ist völlig ausreichend und völlig sicher sofern man die Tickets als das behandelt, was sie sind: wichtige Reisedokumente. Genau so wichtig – und vertraulich – wie der Reisepass oder die Kreditkarte.
    Die Idiotie besteht nicht darin, dass Airlines entsprechende Selektionen zum Aufruf der Buchungen bestimmen, sondern darin, dass irgendwelche Reisende ihre vertraulichen Daten einer Öffentlichkeit zugänglich machen. Im Originalartikel (von diesem Herrn Krebs) wird ja über einen Fall gesprochen, in dem ein Reisender seine Bordkarte auf Facebook gepostet hat. Logischerweise kann dann jeder mit diesen veröffentlichten Informationen das machen, wofür sie vorgesehen sind – nämlich Buchungen einsehen und ggf. ändern.
    Erstaunlicherweise ist nun aber bei diesem Sicherheitsspezialisten nicht die Rede davon, wie komplett bescheuert es ist, vertrauliche (Reise-) Dokumente auf FB zu posten, sondern es wird über Sicherheitslücken bei den Airlines gefaselt. Die einzige Sicherheitslücke, die ich hier sehe, ist jedoch nicht das Buchungssystem sondern der komplette Vollpfosten, der seine persönlichen Daten im Internet postet.