Ticketkauf: Das Amadeus-System wies eine Sicherheitslücke auf.

Amadeus reagiertSicherheitslücke beim größten Buchungssystem

Wegen einer Schwachstelle im Buchungssystem von Amadeus konnten Experten Passagierinformationen verändern. Potenziell wären Millionen von Passagieren betroffen.

Top-Jobs

Aerologic

First Officer (m/f/x) - B777 type rated

Leipzig / Halle Airport
Feste Anstellung
Aerologic GmbH
Deutschland
Vollzeit
Top jobs
logo mjet

CAMO ENGINEER m/f/d

Schwechat, Wien
Feste Anstellung
Business Aviation
MJET GmbH
Österreich
Vollzeit
Top jobs
Zimex logo

Administrator AVOR & CAMO

Vollzeit
Zimex Aviation Ltd.
Flugoperationen
Feste Anstellung
Top jobs
Altenrhein
Schweiz

Amadeus ist unter den so genannten Global Distribution Systems (kurz GDS) die Nummer Eins der Welt. Die Spanier erreichen einen Marktanteil von 44 Prozent und liegen damit vor den Konkurrenten Sabre, Travelport oder Galileo. Ihr Buchungssystem wird von 141 Fluggesellschaften benutzt, darunter United, Lufthansa oder Air Canada. Nun haben ein israelischer Hacker und die Sicherheitsexperten von Safety Detective ein gravierendes Sicherheitsproblem beim Amadeus ausfindig gemacht.

Damit sind potenziell Millionen von Passagieren betroffen. Auf die Sicherheitslücke wurden die Experten aufmerksam, als sie einen Flug bei der israelischen Fluggesellschaft El Al buchen wollten. Sie erhielten eine unverschlüsselt versandte E-Mail mit einem Link, um ihre Passagierdaten zu überprüfen. Die entsprechende URL lautete: https://fly.elal.co.il/hier-stehen-dann-viele-Zahlen.

El Al gehackt

Das kam den wohlmeinenden Hackern komisch vor. Ihnen gelang es in der Folge, sich durch eine simple Anpassung eines Feldes im Code der Webseite die Namen und die Flugnummer anderer Passagiere zu erhalten. So bekam er Zugriff auf deren Konten im El-Al-Kundenportal. Danach konnten sie deren Meilen transferieren, Mahlzeiten und Upgrades kaufen und sogar die hinterlegten Telefon- und E-Mail-Daten ändern.

Security Detective kontaktierte umgehend El Al sowie Amadeus und schlug ihnen Maßnahmen vor, das Sicherheitsleck zu schließen. Kurz danach bestätigte Amadeus gegenüber dem Fachportal Bleeping Computer die Existenz der Sicherheitslücke. Die Airline und der Informatikkonzern versicherten, das Problem inzwischen gelöst und zusätzliche Sicherheitsmaßnahmen installiert zu haben.

Nicht der erste Vorfall

Der Vorfall ist nicht der erste seiner Art: Im Dezember 2016 zeigten die Experten vom Security Research Lab in Berlin auf, wie Hacker bei den den drei Giganten Amadeus, Sabre, und Travelport mit geringem Aufwand Buchungen manipulieren könnten. Wegen ungenügender Schutzmaßnahmen sei somit etwa Meilenklau möglich. Einen ähnlichen Fall gab es auch bei der Thomas-Cook-Tochter Airshoppen. Ein norwegischer Programmierer entdeckte per Zufall, wie er sich Zugriff auf fremde Passagierdaten verschaffen konnte.

All das zeigt auch, warum man als Passagier niemals seine Bordkarte in den Sozialen Medien posten sollte, denn: Der Buchungscode erlaubt es, zahlreiche Änderungen vorzunehmen. Und mit einer simplen App lässt sich der Barcode einlesen, mit dessen Informationen Kriminelle noch viel mehr anstellen könnten.

Mehr zum Thema

Bordkarte): Auf ihr stehen viele wichtige Informationen.

Buchungscode ist ein Sicherheitsrisiko

Die gepostete Bordkarte: Auf Facebook oder Twitter gibt sie wegen Codes und Strichcode vieles preis.

Warum die Bordkarte nicht auf Twitter gehört

ticker-amadeus

Verifizierte CO₂-Angaben der Iata künftig in Amadeus integriert

Flieger von Ryanair: Einige Jets bleiben am Donnerstag am Boden.

Ryanair steigt wieder bei Amadeus aus

Video

Szene aus dem Original-Werbespot von Jet 2: WUrde im Netz umgedeutet.
Der Popsong Hold My Hand wurde 2015 ein respektabler Chart-Erfolg. Doch erst ein Werbespot des britischen Ferienfliegers Jet 2 machte ihn international bekannt – ironischerweise nicht wegen des Urlaubsgefühls, sondern seiner Zweitverwertung in sozialen Medien.
Stefan Eiselin
Stefan Eiselin
hose runter
Da wollte jemand eine klare Botschaft übermitteln: Ein Video zeigt, wie ein Bodenmitarbeiter vor einem Flugzeug die Hose herunterlässt.
Timo Nowack
Timo Nowack
Il-114-300 soll eine höherer Reichweite bekommen.
Ilyushin plant die Auslieferung der ersten drei Il-114-300 für das Jahr 2026. Bis 2028 soll die Reichweite des Turbopropflugzeuges um fast ein Drittel steigen.
Benjamin Recklies
Benjamin Recklies