Hacker, Sahte Biniş Kartıyla Özel Yolcu Salonuna Giriyor

Polonya “Bilgisayar Acil Durum Müdahale Timi” başkanı Przemek Jaroszewski her yıl uçala 50-80 kez seyahat ediyor.

Jaroszewski çok sık uçuyor olması sayesinde, bir çok havayolu şirketinin özel yolcu statüsüne sahip.

Jaroszewski, Türk Hava Yolları’nı (THY) çok seviyor; özellikle de şirketin İstanbul Atatürk Havalimanı’ndaki özel yolcu salonunu.

Geçtiğimiz yıl Varşova’daki özel yolcu salonuna girmek isterken kartı sistemsel bir hata sebebiyle reddedilen bu yüzden salonu kullanamayan Jaroszewski, “hacker” becerilerini kullanarak, kendisine tüm özel yolcu salonlarına girebilecek bir yöntem geliştirdi.

Bu şekilde şu ana kadar Avrupa’da onlarca kez özel yolcu salonlarına giriş yapan Jaroszewski, geliştirdiği yöntemi bugün Las Vegas’ta düzenlenmekte olan DEF CON güvenlik konferansında anlatacak.

Yöntem aslında çok basit.

Jaroszewski, Android tabanlı bir mobil uygulama hazırladı.

Bu uygulama, 10 saniye gibi kısacık bir süre içerisinde herhangi bir isim, uçuş numarası, destinasyon ve kabin sınıfı (Business, Economy gibi) için QR kod tabanlı bir elektronik biniş kartı üretiyor.

İşin püf noktası bu değil.

Jaroszewski’nin uygulamasının neredeyse tüm havayolu şirketlerinin salon girişlerinde işe yaraması aslında, arka plandaki bir sistemsel eksiklikten kaynaklanıyor.

Zira kullanılan giriş kontrol sistemleri sadece, elektronik biniş kartı üzerinde yer alan uçuş numarasının doğru olup olmadığını denetliyor.

Sistemler, havayolu şirketlerinin bilet rezervasyon sistemiyle bağlantıya geçmiyor ve biniş kartında yer alan yolcu bilgilerinin gerçek olup olmadığını sorgulamıyor.

Sahte biniş kartı üretebilmenin bir başka sonucu ise, bu yöntemi kullanan kişilerin rahatlıkla duty-free alanındaki dükkânlardan alış veriş yapabilmeleri.

Jaroszewski, geliştirdiği bu uygulamayı Avrupa dışında denememiş. Bu yüzden mesela ABD’deki havalimanlarında bu hilenin işe yarayıp yaramayacağını bilmiyor.

Bunun yanı sıra, sahte biniş kartı üreterek uçağa binmenin mümkün olup olmadığı da test edilmemiş. Eğer böyle bir şey mümkünse, dünya genelindeki havalimanlarında çok ciddi bir güvenlik açığı bulunduğu söylenebilir.

Ancak bildiğimiz kadarıyla, biniş kapısındaki kart okuyucular, yolcu bilgisini rezervasyon sistemi üzerinden kontrol ediyor ve bu yüzden sahte biniş kartıyla uçağa geçmek mümkün değil.

Aşağıda, Przemek Jaroszewski’nin sahte biniş kartıyla, THY Lounge Istanbul’a nasıl giriş yaptığını gösteren video yer alıyor.