Senaste nytt

What’s in a Boarding Pass Barcode?

Intressant och läsvärd artikel!

What’s in a Boarding Pass Barcode? A Lot — Krebs on Security

bpdecoded.png
 

agehall

Medlem
LOL - killen har inte direkt koll på flygindustrin. Han är helt insnöad på att United inte skriver ut hela FFP-numret på boardingkorten och därför kan man hitta "hemligheter" genom att avkoda streckkoden.

Han hävdar även att han med den info han fick från streckkoden (PNR och efternamn) kunde se alla kommande flighter via Lufthansa.com - det är väl inte sant? För att se kommande flighter måste man väl logga in på sitt konto, eller..?

Den största behållningen är länken till IATA-dokumentet som beskriver hur informationen är kodad i streckkoden. Hans säkerhetsanalys ger jag inte mycket för - den är giltig i vissa fall, men i de flesta fallen är den helt irrelevant eftersom all info redan står utskriven på boardingkortet.
 

mha321

Medlem
Han hävdar även att han med den info han fick från streckkoden (PNR och efternamn) kunde se alla kommande flighter via Lufthansa.com - det är väl inte sant? För att se kommande flighter måste man väl logga in på sitt konto, eller..?
Han kanske blandar ihop det med att du kan se alla kommande flighter (och byta säte osv) som finns i samma reservation. Den kan ju sträcka sig en god bit framåt om man har en multi-hop resa.

Sedan kan man ju generellt sett hålla med om att säkerheten är usel på den biten egentligen. Efternamnet är ju publik information, och "lösenordet" är begränsat till exakt 6 tecken bara uppercase och siffror. Jag undrar hur många kombinationer man hinner brute-force-scanna med efternamn=Agehall, bokningsnr=<sekvens> innan några säkerhetssystem slår ifrån. Om du bara har en ensam framtida bokning så behövs ju inte mer än drygt 200 miljoner försök för att gå igenom alla, vilket är ganska lite... (Och just den där Agehall lär ju ha mer än en resa bokad, så det tar kortare tid än så att faktiskt hitta en)

Men inte riktigt så usel som han påstår :) Och den informationen finns ju som sagt utskriven i textformat på bordingkortet också, så det är ingen skillnad där.
 

Thornado

Medlem
Han kanske blandar ihop det med att du kan se alla kommande flighter (och byta säte osv) som finns i samma reservation. Den kan ju sträcka sig en god bit framåt om man har en multi-hop resa.

Sedan kan man ju generellt sett hålla med om att säkerheten är usel på den biten egentligen. Efternamnet är ju publik information, och "lösenordet" är begränsat till exakt 6 tecken bara uppercase och siffror. Jag undrar hur många kombinationer man hinner brute-force-scanna med efternamn=Agehall, bokningsnr=<sekvens> innan några säkerhetssystem slår ifrån. Om du bara har en ensam framtida bokning så behövs ju inte mer än drygt 200 miljoner försök för att gå igenom alla, vilket är ganska lite... (Och just den där Agehall lär ju ha mer än en resa bokad, så det tar kortare tid än så att faktiskt hitta en)

Men inte riktigt så usel som han påstår :) Och den informationen finns ju som sagt utskriven i textformat på bordingkortet också, så det är ingen skillnad där.

Sen så är ju inte efternamn unika heller. Om man nu inte är ute efter att attackera just @agehall utan nöjer sig med att hitta en godtycklig giltig bokning så kan man ju sätta efternamnet till Johansson eller Smith när man gör sin scanning.
 

lnixon

Medlem
LOL - killen har inte direkt koll på flygindustrin. Han är helt insnöad på att United inte skriver ut hela FFP-numret på boardingkorten och därför kan man hitta "hemligheter" genom att avkoda streckkoden.

Utan att ha dubbelkollat den här artikeln; var försiktig med att för snabbt förkasta nånting Krebs skriver. Han är rätt duktig på det han gör.

Det finns rätt gott om dålig säkerhet när det gäller bonusprogram, och det senaste året eller två har det varit ett uppsving i intrång på bonuskonton. Inkräktarna använder dem för att boka bonusbiljetter som säljs genom fejkresebyråer på nätet.
 

agehall

Medlem
Utan att ha dubbelkollat den här artikeln; var försiktig med att för snabbt förkasta nånting Krebs skriver. Han är rätt duktig på det han gör.

Problemet här, är att han är insnöad på ett visst fall, dvs hur United hanterar saker på boardingkort. I sak har han rätt - det är usel säkerhet på det hela, men det hänger inte på att det går att avkoda streckkoden, vilket man kan tro när man läser hans artikel.
 

mha321

Medlem
Sen så är ju inte efternamn unika heller. Om man nu inte är ute efter att attackera just @agehall utan nöjer sig med att hitta en godtycklig giltig bokning så kan man ju sätta efternamnet till Johansson eller Smith när man gör sin scanning.
Fast det finns ju en poäng med att gå på just @agehall - man vill ju komma åt folk som bokar business eller first om man vill "boka om" deras resa till sig själv :)
 

agehall

Medlem
Tror ändå att chansen att du hittar en biljett att sno är större om du tar Johansson eller något annat efternamn som är vanligt. Agehall finns det en bokning med en viss dag, Johansson finns det kanske 10. Då kapar du sökutrymmet till en tiondel vilket gör att du mycket snabbare hittar en resa att kapa.
 

mha321

Medlem
Tror ändå att chansen att du hittar en biljett att sno är större om du tar Johansson eller något annat efternamn som är vanligt. Agehall finns det en bokning med en viss dag, Johansson finns det kanske 10. Då kapar du sökutrymmet till en tiondel vilket gör att du mycket snabbare hittar en resa att kapa.
Det ger garanterat större chans, men risken tråkigare resultat är påtaglig :)
 
Toppen