30. Dezember 2016 – 12:02
Hacker buchen sich Freiflüge mit Amadeus-Tool "Check my Trip"
homepage-check-my-tripfoto-amadeus
Hacker behaupten, die Seite Check my Trip von Amadeus sei leicht zu knacken. Foto: Amadeus

Der IT-Gigant der Reisebranche macht peinliche Schlagzeilen: Hacker nutzten das Online-Tool „Check my Trip“, um sich Tickets zu erschleichen, die andere bezahlt haben. Und die Computerfreaks stellen Amadeus öffentlich bloß. „Das kriegt wirklich jeder hin“, sagt Karsten Nohl, Gründer und Chef der Firma Security Research Labs, den Journalisten von Süddeutsche und WDR und führt es ihnen vor.

Nohl braucht dazu angeblich nur den Namen eines Passagiers und den ungefähren Zeitraum des Fluges. Dann lässt er seinen Computer sechsstellige Buchungscodes aus Zahlen und Großbuchstaben zusammen mit dem Namen probieren. Nach ein paar Minuten hat Nohl die passende Kombination gefunden und vollen Zugriff auf die Buchung. Die kann er nun einfach einen Tag früher legen, auf seinen Namen ändern und seine E-Mail-Adresse angeben. Der ursprüngliche Fluggast merkt davon nichts, erst, wenn seine Buchung am Abflugtag nicht mehr da ist.

Amadeus räumt in einer Stellungnahme eine Sicherheitslücke ein: „Während eines temporären Wartungsfensters unterlag die Check My Trip-Website einer Reihe von sogenannten Brute-Force-Attacken (massenhaftes Ausprobieren von Zugangsdaten d. Red.) durch Dritte.“ Der Hacker-Angriff habe zu einem Alarm geführt und die IP-Adresse sei gesperrt worden.

Profi-Hacker Nohl sieht die Schwachstelle bei Check my Trip darin, dass kein Passwort nötig sei, um an die Buchungen zu gelangen. Dazu Amadeus: „Wir werden diese Erkenntnisse berücksichtigen und mit unseren Partnern in der Branche zusammenarbeiten, um die hier dargelegten Probleme anzusprechen und Lösungen für mögliche Probleme zu finden.“ Ob und welche Passagierdaten durch die Sicherheitslücke zugänglich waren, müssten interne Untersuchungen bei Amadeus noch klären. „Bis zu deren Abschluss können wir keine weiteren Aussagen treffen.“

Ausführlicher Artikel über die Buchungsmanipulationen auf Check my Trip: Süddeutsche

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen zu Cookies und ihrer Deaktivierung erhalten Sie in unserer Datenschutzerklärung.
Zu den Datenschutzbestimmungen ... Zustimmen