2132781

Sicherheitsrisiko "Boarding Pass" - besser keine Fotos machen!

08.10.2015 | 13:45 Uhr |

Wer seinen Boarding Pass fotografiert und das Bild online stellt, gibt viel von sich preis. Fremde können sogar Ihren Flug annullieren.

Auf Flickr oder Instagram gibt es unzählige Bilder von Flugzeug-Bordkarten aka Boarding Passes. Die Karten enthalten aber so viele Daten, dass es eigentlich unklug ist, Fotos davon im Internet veröffentlichen. Der Sicherheitsforscher Brian Krebs zeigt in einem Blog-Eintrag auf, wie leicht man mit Hilfe der Zahlen und Barcodes auf dem Boarding Pass an empfindliche Informationen des Passagiers herankommt.

Boarding Pass: Foto erlaubt Login

So enthalte beispielsweise ein analysierter Boarding Pass eines Lufthansa-Flugs neben dem Namen des Passagiers auch die Vielflieger-Nummer und die Flugnummer. Mit dieser Nummer konnte sich ein Leser des Blogs auf der Lufthansa-Webseite einloggen. Dazu brauchte er zwar noch den Nachnamen des Kunden - doch dieser war in einem Barcode auf dem Pass enthalten. Nach dem Login war es dem Eindringling möglich, sich alle künftigen Flüge anzuschauen, sofern sie über diesen Account abgewickelt wurden. Es konnte also ein Bewegungsprofil des Nutzers erstellt werden.

Angreifer kann Sitzplatz ändern und Flug annullieren

Doch damit nicht genug: Das Login verriet dem Mann auch die hinterlegte Telefonnummer des Opfers und den Namen der Person, die den Flug gebucht hatte. Es war ihm sogar möglich, den Sitzplatz für den baldigen Flug zu ändern. Sicherlich nicht zur Freude des Fluggastes, der sich womöglich auf einen Fensterplatz gefreut hatte. Noch schlimmer: Künftige Flüge hätten von dem Eindringling komplett annulliert werden können.

Mit ein wenig mehr Zusatz-Infos hätte der Angreifer auch das Vielflieger-Konto übernehmen können, also die PIN ändern können. Dazu hätte es, so steht es im Blog-Eintrag, nur noch der Antwort auf eine einfache Sicherheitsfrage bedurft. In diesem Fall sei nach dem Mädchennamen der Mutter gefragt worden. Das lässt sich mit einem Besuch auf Facebook aber oft schnell herausfinden. Entweder hat die mit dem Opfer auf Facebook befreundete Mutter ihren alten Namen direkt im Profil stehen. Oder eine Tante oder ein Onkel trägt diesen Namen noch immer.

Wer seinen eigenen Boarding Pass auf solche Informationen prüfen mag, kann ein Bild davon beispielsweise auf dieser Webseite hochladen. Dass Sie dieses Foto natürlich nicht anderswo veröffentlichen sollten, versteht sich von selbst.

Hacker soll Flugzeug-Höhe im Flug geändert haben

Video: Die unglaublichsten Sicherheitslücken im Internet
0 Kommentare zu diesem Artikel
2132781