Amadeus ist unter den so genannten Global Distribution Systems (kurz GDS) die Nummer Eins der Welt. Die Spanier erreichen einen Marktanteil von 44 Prozent und liegen damit vor den Konkurrenten Sabre, Travelport oder Galileo. Ihr Buchungssystem wird von 141 Fluggesellschaften benutzt, darunter United, Lufthansa oder Air Canada. Nun haben ein israelischer Hacker und die Sicherheitsexperten von Safety Detective ein gravierendes Sicherheitsproblem beim Amadeus ausfindig gemacht.
Damit sind potenziell Millionen von Passagieren betroffen. Auf die Sicherheitslücke wurden die Experten aufmerksam, als sie einen Flug bei der israelischen Fluggesellschaft El Al buchen wollten. Sie erhielten eine unverschlüsselt versandte E-Mail mit einem Link, um ihre Passagierdaten zu überprüfen. Die entsprechende URL lautete: https://fly.elal.co.il/hier-stehen-dann-viele-Zahlen.
El Al gehackt
Das kam den wohlmeinenden Hackern komisch vor. Ihnen gelang es in der Folge, sich durch eine simple Anpassung eines Feldes im Code der Webseite die Namen und die Flugnummer anderer Passagiere zu erhalten. So bekam er Zugriff auf deren Konten im El-Al-Kundenportal. Danach konnten sie deren Meilen transferieren, Mahlzeiten und Upgrades kaufen und sogar die hinterlegten Telefon- und E-Mail-Daten ändern.
Security Detective kontaktierte umgehend El Al sowie Amadeus und schlug ihnen Maßnahmen vor, das Sicherheitsleck zu schließen. Kurz danach bestätigte Amadeus gegenüber dem Fachportal Bleeping Computer die Existenz der Sicherheitslücke. Die Airline und der Informatikkonzern versicherten, das Problem inzwischen gelöst und zusätzliche Sicherheitsmaßnahmen installiert zu haben.
Nicht der erste Vorfall
Der Vorfall ist nicht der erste seiner Art: Im Dezember 2016 zeigten die Experten vom Security Research Lab in Berlin auf, wie Hacker bei den den drei Giganten Amadeus, Sabre, und Travelport mit geringem Aufwand Buchungen manipulieren könnten. Wegen ungenügender Schutzmaßnahmen sei somit etwa Meilenklau möglich. Einen ähnlichen Fall gab es auch bei der Thomas-Cook-Tochter Airshoppen. Ein norwegischer Programmierer entdeckte per Zufall, wie er sich Zugriff auf fremde Passagierdaten verschaffen konnte.
All das zeigt auch, warum man als Passagier niemals seine Bordkarte in den Sozialen Medien posten sollte, denn: Der Buchungscode erlaubt es, zahlreiche Änderungen vorzunehmen. Und mit einer simplen App lässt sich der Barcode einlesen, mit dessen Informationen Kriminelle noch viel mehr anstellen könnten.
