Amadeus hat sich in der Sache per Pressemitteilung erklärt:
Hier meine Übersetzung der PI:
Amadeus nimmt eine Bewertung der Ergebnisse von SR Labs für die Sicherheit der Reisebranche vor.
Shice, die haben uns rechts überholt mit dem Mist und wir müssen jetzt mal auf Zeit spielen, da wir nicht so genau wissen, wie lange wir eigentlich brauchen, um das Demonstrierte abzustellen. Es ist auf jeden Fall nur die Reisebranche betroffen, das Internetz ist weiterhin sicher.
Wir geben der Sicherheit von Kundensystemen und Daten höchste Priorität und unsere Systeme und Prozesse werden kontinuierlich überprüft.
Wasser ist nass.
Davon abgesehen waren unseren Prüfungen bisher auf so abscheulich niedrigem Niveau, dass wir solch idiotische Angriffe nicht unterbinden konnten.
Wir werden diese Erkenntnisse berücksichtigen ...
Diese Hacker-Heinis sind da echt auf was Dickes gestoßen und wir müssen uns jetzt endlich mal bewegen. Um die Größe des Problems zu verschleiern, tun wir im folgenden Text einfach so, als wäre nur CMT betroffen und nicht etwa unsere 40 Jahre alte Kacke, auf der das alles beruht.
... und mit unseren Partnern in der Branche zusammenarbeiten, um die hier dargelegten Probleme anzusprechen und Lösungen für mögliche
Probleme zu finden.
Nachdem wir es nicht alleine verkackt haben, müssen alle anderen Beteiligten auch mit ans Werk und sich ohnehin an den Kosten beteiligen.
Während eines temporären Wartungsfensters unterlag die Check My Trip-Website einer Reihe von sogenannten "Brute-Force-Attacken" durch Dritte.
Das Wartungsfenster wurde vor ungefähr acht Jahren geöffnet. Oder wann auch immer wir CMT ins Netz gestellt haben. Erst als SRL sich bei uns gemeldet haben, hat der indische IT-Prakti sich mal die Firewall-Logs angeschaut.
Dass das eigentliche Problem so gar nichts mit CMT zu tun hat, merkt hoffentlich keiner. Ist ja alles schrecklich kompliziert mit diesem IT-Zeug.
CheckMyTrip ist selbstverständlich durch ein System der Benutzerverhaltensanalyse geschützt, das automatisierte Roboterangriffe in Echtzeit erkennt und blockiert.
Warum das Ding auch in diesem Fall mal wieder versagt hat, weiß kein Mensch. Hätte es angeschlagen, hätten wir wie folgt formuliert: "CheckMyTrip ist selbstverständlich durch ein System der Benutzerverhaltensanalyse geschützt, das automatisierte Roboterangriffe wie den durch SRL in Echtzeit erkennt sowie blockiert und im vorliegenden Fall dafür gesorgt hat, dass die Hacker gar nicht erst ans Ziel kamen."
Der Angriff auf Check My Trip führte zu einem Alarm in unseren Monitoring-Tools, die sofort interne Untersuchungen auslösten.
Wir nahmen sofort Untersuchungen auf, nachdem sich SRL ein paar Tage vor ihrem Vortrag im Rahmen der Coordinated Disclosure freiwillig bei uns gemeldet hat.
Wir haben schnell eine IP-Blockierung für die betroffenen IP-Adressen angefordert. Die Seite ist jetzt gegen diese Art von Angriffen geschützt.
Wir haben das kleinste Pflaster aufgeklebt, dass der Inder vor Weihnachten innerhalb von 45 Sekunden auftreiben konnte. Gegen jegliche andere Angriffe (Botnet, anyone?) oder halbwegs ordentliches IP-Spoofing ist nach wie vor kein Kraut gewachsen. Wir können ja schlecht den ganzen Adressraum von AWS blockieren, da dort schätzungsweise 90 Prozent der Systeme unserer Kunden laufen.
Wenn wir mal Zeit haben (siehe "... und mit unseren Partnern"), kümmern wir uns um halbwegs ordentliche Absicherung der Web-Schnittstellen von CMT.
Meine Einschätzung:
Nicht nur deren IT-Systeme sind aus den 70ern. Sondern auch die Denke in der Kommunikationsabteilung bzw Unternehmensführung.
rolleyes
