来自国外媒体CSO的报道，国外数千万人每天在用的“旅行预订系统”非常不安适，缺乏应有的身份认证方案。打击者操作系统的弱点，能够等闲变动搭客预约、打消此人的航班甚至可以操作退款系统为打击者本身买机票。
在上周第33届混沌通信大会（Chaos Communications Congress）上知名黑客Karsten Nohl和Nemanja Nikodijevic演示证明了比来的订票系统在设计上是存在严重的安适问题的。
GDS很脆弱：暴力猜度预订码只需几分钟
这两名研究者针对全球分销系统（GDS）进行了几个月的安适研究。这里的全球分销系统（GDS），其使用者凡是都是旅游行业者，包孕航空公司，旅行社，酒店和租车公司。
GDS可以看作是一个包罗旅行预订等所有信息的复杂数据库，此中就有所谓的PNR——也就是旅客姓名记录，这里面的数据内容包孕旅行者姓名，行程，旅行日期，单据细节，电话号码，电子邮件，护照信息，信用卡卡号，座位号和行李信息等。旅行数据对付骗子和垂钓者来说固然相当有价值，操作这些数据，打击者可以倡议有针对性的打击或是欺诈。所以GDS的安适实际上是相当重要的。
世界上最主要的GDS运营商包孕了Sabre，Travelport和Amadeus。对付这些GDS运营方来说，要增加或者改削搭客的航班数据，只需要使用搭客的姓氏和6位预订码（booking code）访谒系统就能等闲搞定。

而PNR的防护级别实际上相当之低，好比预订码对打击者而言是相当容易获得的——它就打印在行李标签上，而且机票的二维码中也插入了这一信息。很多搭客在整个旅程尚未结束时就会扔失手里的登机牌，还有些人还会把登机牌晒到社交网络上——原本将登机牌袒露出来就是对隐私的蔑视。
GDS作为一个系统可从任意位置访谒，访谒点包孕航空公司网站、旅行机谈判类似CheckMyTrip这样的第三方网站。两名研究人员解释称，许多航空公司和旅程核查网站根柢就不限制预订码输入的次数，打击者要进行暴力猜度打击也就可行了。而且系统还只用大写字母，猜起来更容易。研究人员演示了针对某个姓氏，找出相应预订码的要领，整个过程是完全自动的，只需要数分钟。
此中一家GDS运营方为了制止预订码混淆，所以不用1和0这两个数字（制止和I和O字幕混淆）；此外两家的预订码则是挨次往下排的。这样一来，打击者要暴力猜出预订码又实在是太容易的一件事了。
如上所述，有了姓氏和预订码，要做打消航班一类的操纵就很容易了，打击者还能操作航空公司给的点数来订购新机票。
GDS系统登录暗码真的很弱
CSOonline在报道中提到：
那些旅行机构有登录GDS的高权限账户，而这些账户的暗码强度都相当弱。好比说有机构用‘WS’作为暗码，WS就是web service的缩写。如果登录是以DDMMYY的格局创建的，暗码后面会跟上相应的日期。这样的暗码很容易就被暴力破解，但悲剧的是，从研究人员不雅察看的情况来看，这样的暗码已经是旅行机构所有的最为庞大的暗码之一了。
足见GDS的安适性从来没有被当成一回事。打击者访谒他人的预订数据可导致隐私侵犯，这还是小事，打击者可滥用此类访谒使自身受益。好比说，他们可以将他们的飞翔常客号添加到其他旅客的远程班，以获得本身的奖励里程。
更更悲剧的是，GDS数据库中没有进行日志记录。由于没有日志记录，也无法得知谁访谒了数据库，以及系统中存在几多数据滥用。
“暗码等安适法子已经这么普及了，我认为我们有权利知道谁访谒了我们的记录，这是一种义务——尤其是让我们了解这些系统现如今有何等不安适。”