Flygbokningssystemet Amadeus används av nära hälften av världens flygbolag, däribland SAS, Norwegian, lufthansa med flera. Flygbolag och bokningstjänster utgör ett gränssnitt mot Amadeus, som fungerar som en gemensam bokningsplattform så att alla parter kan få samma information. När du bokar en flygresa är det Amadeus som skapar ett så kallat Personal Name Record, eller pnr-nummer, i Sverige ofta kallat referensnummer. Det är den där sex tecken långa koden i stil med UR5TLY.

Om du vill ändra något i din bokning, till exempel att byta stol i kabinen, boka eller ändra måltider, lägga till bagage och överföra bonuspoäng, eller ändra e-postadress och telefonnummer, är det enda du behöver ha till hands din boknings pnr-nummer, och ditt efternamn. Jätteenkelt och supersmidigt. Men...

bokning
För att göra ändringar i din bokning krävs ett pnr-nummer och efternamn.

Den sårbarhet i Amadeus som upptäcktes här om veckan innebar (den är fixad nu) att man inte ens behövde känna till pnr-numret och inte heller efternamnet på resenären; det räckte att gissa ett pnr-nummer, eller som de israeliska forskare som upptäckte sårbarheten gjorde: skriva ett enkelt script som slumpar fram pnr-koder. På detta sätt kunde forskarna enkelt komma åt andra personers bokningar.

Men det slutar inte där. Att få tag på pnr-nummer är inte svårt då många människor glatt visar upp sina flygbiljetter och andra resehandlingar på Facebook, Instagram och andra sociala kanaler. Efter lite letande under hashtags som #boardingpass och #planetickets på Twitter eller sökningar som "planetickets” på Instagram går det enkelt att hitta bilder med både pnr-nummer och efternamn på resenären.

Den som först upptäckte sårbarheten i Amadeus är den israeliske it-säkerhetsexperten Noam Rotem på Safety Detective Research Lab. När han skulle boka en resa med det israeliska flygbolaget Elal ramlade han över det faktum att vem som helst kunde ändra en annan människas bokning enbart med hjälp av pnr-numret. Rotem kunde testa sig fram med hjälp av url:en till bokningen han fick i retur från Elal.

När jag testade att utföra samma trick på flygbolaget SAS hemsida, delvis med hjälp av en frivillig kollegas pnr-nummer, hade Amadeus redan åtgärdat sårbarheten. Men även med sårbarheten åtgärdad är det beklämmande enkelt att komma åt en främmande resenärs bokning, förutsatt att man har kommit över den resenärens pnr-nummer och känner till resenärens efternamn.

måltid
Din måltid kan bli utbytt till något du är allergisk mot.

Det här systemet har en alldeles för låg säkerhetsnivå. Säkerheten hänger på detta "hemliga” pnr-nummer, alltså klassisk "security by obscurity”. Det är allt som står i vägen för någon som tänker sig att byta din måltid till något du är allergisk mot, eller lägga till fler väskor, vilket i fallet med kollegans resa med SAS hade kostat honom 295 kronor. Per väska.

väskor
295 kronor per väska – kan bli dyrt.

När jag tar upp detta med SAS presschef i Sverige, Freja Annamatz, svarar hon att du som resenär inte får glömma att din pnr-kod är en värdehandling; du får inte tappa den eller visa den för obehöriga. Och det är ju sant, men det gäller även till exempel lösenord, och idag är vi allt mer medvetna om att lösenord inte räcker som skydd. Det måste till något mer.

Enligt Freja Annamatz är det det internationella flygorganet IATA som ansvarar för Amadeus, att det är den industristandard som finns och måste fungera gemensamt för hela branschen. Underförstått att SAS (och andra i branschen) inte kan göra så mycket åt saken.

Jag vill hävda motsatsen. Såvitt jag kan förstå finns det inget tekniskt hinder för att tillhandahålla ytterligare säkerhetslager för att skydda SAS med fleras kunder. SAS skulle kunna, till exempel, implementera ett system med 2-faktor-autentisering via sms. Flygbranschen har hög svansföring inom säkerhet, med all rätt, men det borde även gälla folks bokningar.

Läs också:
Social engineering och dålig datahantering bakom ökning av bedrägerier
Ny app ska rädda din resa: “Vi löser ett i-landsproblem på riktigt”