Enkele weken geleden werd er nog een serieus lek in de beveiliging van Brussels Airlines gemeld. Een passagier die problemen had met zijn boarding pass, probeerde om dat via de website op te lossen en raakte met een paar muisklikken aan de gegevens van alle andere passagiers - als hij wilde kon hij hun boeking zo veranderen, ze een andere stoel geven of bagage toevoegen. Ondertussen werd de beveiliging bij Brussels Airlines aangepast, maar een Duits experiment toont aan dat heel wat andere luchtvaartmaatschappijen nog zeer kwetsbaar zijn voor inbreuken.

Een groepje hackers mocht van een Duitse tv-journalist proberen om met zijn vliegticket te knoeien. Enkele minuten later hadden ze hem op een andere vlucht gezet, op een zitje naast een Duitse politicus. “Veel luchtvaartmaatschappijen gebruiken nog decennia oude systemen die zeer slecht beveiligd zijn”, zegt Karsten Nohl, directeur van het Security Research Lab dat meewerkte aan het experiment. “Chaos creëren bij honderden toeristen, is slechts een kwestie van minuten. Ook terroristen kunnen dit veiligheidslek makkelijk uitbuiten.”

De hackers hadden niet eens een wachtwoord nodig om zich een toegang te verschaffen tot de vliegtickets. Het enige wat ze moesten zien te bemachtigen, was een zesletterige code die van toepassing was op de hele database. “Omdat er bij die verouderde systemen geen limiet staat op het aantal gokken dat je kan doen, kan je een eenvoudig programmaatje alle mogelijkheden laten proberen”, aldus Nohl. “Er werd ook gewoon gebruikt gemaakt van hoofdletters. Als er ook cijfers, kleine letters en symbolen gebruikt zouden worden, zouden de hackers het al veel moeilijker hebben gehad.”

“Eens je in de database zit, heb je de totale controle”, zegt computerbeveiligingsexpert Nico Cool. “Je kan tickets wissen, van naam veranderen, omboeken, andere zitjes toekennen en noem maar op. Als administrator kan je echt alles wijzigen.” Als consument kan je er zelf niets aan doen, aldus Cool. “De gebruiker treft geen enkele schuld, het is aan de luchtvaartmaatschappijen om hun beveiliging op orde te zetten. Zodra ze dat niet doen, blijft het systeem kwetsbaar. Want waarom zou je nog paspoortcontroles doen als je de rest van je beveiliging zomaar open gooit? Gelukkig is het bij de Belgische luchtvaartmaatschappijen nu goed in orde.”

“In principe is elk bedrijf met een online database - en dat zijn ze bijna allemaal tegenwoordig - kwetsbaar. De meeste bedrijven hebben natuurlijk al geïnvesteerd in moderne beveiliging”, zegt Nico Cool. “Stel je voor dat een webwinkel als Bol.com met hetzelfde lek zou kampen. Dan heb je niet alleen het feit dat je met bestellingen kan knoeien, maar in veel gevallen heb je dan ook toegang tot alle kredietkaartgegevens van de klanten.”

Alles bij de bron; Nieuwsblad [Thnx-2-Luc]