ที่งาน 33C3 นักวิจัยจาก SRLabs รายงานถึงความปลอดภัยของระบบจองตั๋วเครื่องบิน Global Distribution System (GDS) ที่เกือบทั้งโลกมีใช้งานเพียงสามระบบ คือ Amadeus, Sabre, และ Galileo
นักวิจัยพบว่าระบบเหล่านี้เป็นระบบเก่าและความปลอดภัยมักไม่เพียงพอ ตัวแทนจำหน่ายตั๋วเครื่องบินที่ต่อเข้าระบบเหล่านี้มักใช้รหัสผ่านที่คาดเดาได้ง่าย และเมื่อล็อกอินแล้วการควบคุมข้อมูลกลับไม่ดีเท่าที่ควร ข้อมูลของลูกค้าสามารถเข้าถึงได้โดย พนักงานของบริษัทขายตั๋วเครื่องบิน, พนักงานของสายการบิน, พนักงานของบริษัท GDS, และพนักงานบริษัทที่ให้บริการระบบอื่นๆ ข้อมูลที่แต่ละคนเห็นมีจำนวนมาก รวมถึงข้อมูลบัตรเครดิต
หมายเลขจอง (booking code) เป็นรหัสผ่านสำหรับลูกค้าที่ต้องการเข้าถึงข้อมูลของตัวเอง ระบบ GDS กลับให้รหัสผ่านตามการจองโดยไม่แยกข้อมูลลูกค้าแต่ละคน รหัสผ่านนี้เปลี่ยนไม่ได้ และตัวผู้ให้บริการก็สามารถเห็นรหัสผ่านได้เอง ตรงกันข้ามกับเว็บที่เก็บรหัสผ่านเป็นค่าแฮช ที่แม้แต่ผู้ให้บริการก็ไม่รู้ว่ารหัสผ่านของลูกค้าคืออะไร ตัวรหัสผ่านยังมีความซับซ้อนต่ำ แต่ละรายมีระบบสร้างรหัสความซับซ้อนไม่ถึง 30 บิตเท่านั้น
นักวิจัยเรียกร้องให้มีการปรับปรุงระบบเหล่านี้ ด้วยการจำกัดข้อมูลให้แต่ละคนเห็นข้อมูลเฉพาะที่เกี่ยวข้องกับตัวเอง, เปิดทางให้สร้างรหัสผ่านสำหรับการจัดการข้อมูลส่วนตัว, รักษาความปลอดภัย web service ต่างๆ ให้ดีขึ้น, และเปิดช่องทางให้ลูกค้ารับรู้ว่ามีใครเข้าถึงข้อมูลอะไรบ้าง
ที่มา - CCC.de, Motherboard