Der #29 Wochenrückblick: Wie einfach man fremde Buchungen einsehen & ändern kann • Wenn man als Airbnb-Gast lügen soll

Eiffelturm in Paris

Der 29. Wochenrückblick von Travel-Dealz mit folgenden Themen: Die letzten zwei Wochen auf Travel-Dealz, wie einfach man fremde Buchung einsehen und ändern kann und wenn man als Airbnb-Gast die Nachbarn anlügen soll.

Das Titelbild ist erst Gestern bei bestem Wetter in Paris entstanden. Mehr Bilder von unserem Wochenendausflug nach Paris, gibt es bei Instagram.

Die letzten zwei Woche auf Travel-Dealz

Da der Wochenrückblick am 31. Dezember ausgefallen ist und es stattdessen einen Jahresrückblick auf 2016 gab, gibt es dieses Mal ein Rückblick auf die letzten zwei Wochen:

13% Gutschein auf Hotels: Diese Woche gibt es exklusive für Euch einen 13% Gutschein auf Hotels bei eBookers. Ohne MBW und für Aufenthalte bis September 2017!

Miles&More Kreditkarte mit satten 20.000 Bonusmeilen: Wer bis Ende Februar die Miles&More Kreditkarte erfolgreich beantragt, erhält für die Gold World Plus-Variante satte 20.000 Prämienmeilen auf sein Miles&More-Konto gutgeschrieben! Der höchste Bonus seit langem!

Wie man einen Error Fare richtig bucht: Bei der Buchung eines Error Fares gibt es einige Punkte zu beachten und auch nach der Buchung gibt es immer wieder offene Fragen z.B. wann ist das Ticket sicher? Deswegen habe ich eine Anleitung geschrieben, wie man Error Fares richtig bucht.

Travel-Dealz im Off the Path-Podcast: Sebastian von Off the Path hat mich in seinen Podcast eingeladen. Das Thema waren natürlich Error Fares und wie man damit günstig um die Welt fliegt.

Steuerparadies Helgoland: Die einzige deutsche Hochseeinsel Helgoland ist ein Steuerparadies! Auf Waren, die man auf der Insel kauft, fällt keine Mehrwertsteuer an. Das gilt auch für Online gekaufte Artikel mit Lieferadresse auf Helgoland. Macht man einen Ausflug nach Helgoland, shoppt vorher bei Amazon und holt es in der dortigen Postfiliale ab, spart man effektiv knapp 16%!

2017 kostenlos Nationalparks in Kanada besuchen: Dieses Jahr kann man in Kanada alle Nationalparks kostenlos besuchen. Ab sofort kann man sich einen 2017 Parks Canada Discovery Pass kostenlos nach Hause schicken lassen.

Gratis Status: Schon seit mehreren Monaten gibt es von Small Luxury Hotels (SLH) den The Club Loved-Status für Inhaber einer MasterCard direkt bei der Anmeldung.

SWISS Boeing 777 Business Class + CS100 fliegen: Noch bis Mitte Februar trainiert SWISS ihre Crew für die neue Boeing 777-300ER auf Flügen zwischen Zürich und Hannover. Gleichzeitig wird an einigen Tagen auch noch die neue Bombardier CSeries auf der Strecke eingesetzt. Ein Hin- und Rückflug gibt es für 202€ inkl. Upgrade in die Business Class auf der Boeing 777.

Kostenlose Kreditkarte mit 25€ Startguthaben: Die New Visa von Barclaycard gibt es aktuell mit 25€ Startguthaben. Die Kreditkarte ist dauerhaft ohne Jahresgebühr und kann im Euro-Raum ohne Gebühren zum beziehen von Bargeld genutzt werden.

Für 5€ bei DriveNow anmelden + 25 Freiminuten: Bis Sonntag könnt ihr euch beim Carsharing-Anbieter DriveNow für nur 4,99€ anmelden und erhaltet noch 15 Freiminuten on top.

Dreifach Avios sammeln: British Airways verschenkt wieder dreifache Avios für bis zu 8 Segmente, die man bis zum 31. März abgeflogen hat. Registrierung notwendig!

Eine Woche Madeira für 299€: Aktuell gibt es an zahlreichen Terminen Pauschalreisen nach Madeira für nur 299€. Inklusive sind sieben Übernachtungen im 4-Sterne Hotel, Rail&Fly, Transfer und Frühstück.

Neue Miles&More Meilenschnäppchen: Für Abflüge zwischen dem 1. Mai und 15. Juni gibt es wieder Prämienflüge z.B. in der Business Class in die USA oder nach Asien ab 55.000€ + 400€-600€ Steuern und Gebühren.

Günstige Flüge

Neue Gutscheine

  • 100€ von TUI: Die Frühbucher-Saison ist gestartet und deswegen gibt es von TUI einen 100€ Gutschein auf Pauschalreisen in den Sommermonaten.
  • Tagesticket für die Zoom Erlebniswelt: Über Groupon lassen sich aktuell Gutscheine für ein Tagesticket für die Zoom Erlebniswelt zum Preis von 8,90€ statt 14,50€ kaufen. Der zoologischen Themenpark liegt im Ruhrgebiet.
  • 20€ Gutschein auf Flüge bei Opodo: Auf Flugbuchen ab 450€ könnt ihr bei Opodo dank Gutschein, 20€ Rabatt erhalten.
  • 13% Gutschein auf Hotels bei eBookers: Noch bis Sonntag gibt es bei eBookers, 13% Rabatt auf Hotels dank Gutschein.

Wie einfach man fremde Buchung einsehen kann

Beim 33. Chaos Communication Congress in Hamburg hat der Sicherheitsforscher Karsten Nohl gezeigt, wie einfach man auf fremde Buchungen in den  Globalen Reservierungssystemen (GRS) von Amadeus, Sabre und Galileo zugreifen kann und welche Sicherheitslücken existieren.

Dreh und Angelpunkt dabei ist, dass der Zugriff auf eine Reservierung nur durch den Buchungscode (auch Passenger Name Record = PNR genannt) und Nachnamen möglich ist (siehe auch Buchung aufrufen und überprüfen). Die ganze, sehr sehenswerte Session, gibt es unter dem Titel Where in the World Is Carmen Sandiego? Becoming a secret travel agent auf YouTube:

Dabei präsentiert Nohl folgende Sicherheitslücken:

  • Buchungscode & Nachname aus Barcodes auslesen: Der Barcode, der u.a. auf den Boarding Pass gedruckt wird, enthält alle Informationen die man benötigt, um die komplette Buchung einzusehen: Nachname + Buchungscode.
    Leider wissen das nur die wenigsten und Posten z.B. unter dem Hashtag #boardingpass auf Instagram Foto von ihrem Boarding Pass. Theoretisch kann so ein Fremder Flüge stornieren, umbuchen, auf seinen Namen ändern, eine Vielfliegernummer hinterlegen…
  • Buchungen durch ausprobieren finden: Über CheckMyTrip.com kann man seine Buchung einsehen. Da seine persönlichen Daten nur durch einen sechsstelligen Code und dem Nachnamen geschützt sind, konnte Nohl fremde Buchungen finden indem er einen allerweltsnamen z.B. Smith nahm und den sechsstelligen Buchungscode per Brute Force errät. CheckMyTrip machte es ihm dabei besonders einfach, indem er unendlich Versuche hatte. Offiziell nur wegen einem Wartungsfenster.
    Noch schlechter abgesichert sind einige Webseiten von Fluggesellschaften. Anstatt den Nachnamen als zweite Hürde zu verlangen, muss man z.B. bei Oman Air nur einen Flughafen bei dem man startet, landet oder umsteigt angeben. Da quasi alle Flüge von Oman Air einen Berührungspunkt mit Muskat haben, könnte man auch ganz auf diesen Schutz verzichten. Das hat sich wohl auch Pakistan International Airlines gedacht und fragt nur die PNR ab.
  • Zugriffe werden nicht gespeichert: Wer wann und wo auf eine Buchung im GDS zugegriffen hat, wird einfach nicht gespeichert. Im Passanger Name Record sind viele sensible Informationen über eine Person gespeichert und es ist auch nicht bekannt, wer alles, z.B. Regierungsorganisationen, Zugriff auf diese Daten hat und wer was eingesehen hat.

Diese Sicherheitslücken sind nichts neues und bekannt. Bisher war die Motivation von Amadeus und co. nicht gerade groß, diese zu schließen. Meiner Meinung nach sollte aber schnellstens der Nachname zumindest durch die Email-Adresse ersetzt werden und ein effektiver Brute Force-Schutz eingeführt werden.

Eine ausführliche Zusammenfassung gibt es bei heise.de.

Kurznachrichten

Der nächste Wochenrückblick

Der nächste und damit 30. Wochenrückblick wird am Samstag Vormittag 14. Januar veröffentlicht.

Falls ihr den letzten Wochenrückblick verpasst habt, findet ihr ihn hier:

Außerdem hier noch einmal der Hinweis auf dem Jahresrückblick:

Alle vorherigen Wochenrückblicke findet ihr hier: Wochenrückblick

Wie gefallen euch die ersten Wochenrückblicke? Was kann ich besser machen? Habe ich Themen übersehen? Dann dürft ihr mit gerne ein Kommentar hinterlassen oder eine Email an Johannes@Travel-Dealz.de schreiben. Außerdem findet ihr mich auf TwitterFacebook oder bei Instagram.

Johannes

Ich habe 2010 Travel-Dealz gegründet und schreibe seit dem täglich über die neusten Reiseschnäppchen. Seitdem ich 17 bin, suche ich nach Wegen so günstig wie möglich zu fliegen. Mit meinem Wissen versuche ich Dir genau das selbe zu ermöglichen. Wenn du eine Frage hast kannst du dich jederzeit an mich wenden! Schreib mir einfach eine Email an: Johannes@Travel-Dealz.de Bitte aber nicht mit einem Reisebüro verwechseln.

Kommentare (2) Schreibe einen Kommentar

    • Jop. Gibt es aber noch hier: Der 29. Wochenrückblick von Travel-Dealz mit folgenden Themen: Die letzten zwei Wochen auf Travel-Dealz, wie einfach man fremde Buchung einsehen und ändern kann und wenn man als Airbnb-Gast die Nachbarn anlügen soll.

      Antwort

  1. Ich finde, das sollte viel mehr publiziert werden, dass es rechtlich gute Chancen gibt, dass der Passagier nach jeder Stornierung den Flugpreis fast vollständig zurückverlangen kann, egal, wie die AGB des Tickets lauten.

    Antwort

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.