Let at få adgang til flypassagerdata

TV2 Nyhederne kunne søndag aften tage hul på et nyt element i historien om Se og Hørs tilsyneladende systematiske anskaffelse af personfølsomme informationer til at skabe grundlag for sladderhistorier i ugebladet.

Ifølge TV2 Nyhederne havde flere journalister fra Se og Hør oplyst, at man blandt andet havde en kilde i SAS, der løbende har forsynet ugebladet med informationer om de kendtes rejser.

Selvom der ikke på nuværende tidspunkt findes konkret dokumentation for påstandene, har SAS alligevel oplyst, at flyselskabets IT-system ikke kan afsløre, hvis der er en ansat, der har forsøgt at tilegne sig adgang til personfølsomme informationer.

SAS har siden juni 2013 været koblet på Amadeus Altéa, der er en programpakke i det globale distributionssystem Amadeus. Her bliver der til hver booking oprettet et reservationsnummer eller en PNR (Passenger Name Record, red.) som andre kalder det. Det er en sekscifret alfanumerisk kode, der entydigt identificerer bookingen.

Det er kun muligt at logge ændringerne i denne PNR. Hvis der blot har været tale om, at man har lavet et opslag i bookingen uden at foretage opdateringer, vil det ikke være muligt at se, hvem der har gjort det. Dette bekræftes af såvel Amadeus som SAS.

“Hvis man bare går ind og kigger, så kan vi ikke logge det. Hvis der derimod er foretaget transaktioner eller opdateringer i bookingen, så vil vi kunne spore det, enten fra en terminal-ID eller loginkode,“ bekræfter pressechef Trine Kromann-Mikkelsen fra SAS i Danmark til CHECK-IN.dk.

Nyt IT-system har forbedret sikkerheden
Hvis informationerne om den påståede SAS-kildes videregivelse af passagerdata holder stik, vil det angiveligt have været sket i perioden fra 2008 til 2012. I denne periode havde SAS endnu ikke skiftet over på Amadeus-platformen og benyttede i stedet sit eget RESAID-system, der var relativt åbent.

“Før vi fik Amadeus Altéa var der en helt anden tilgængelighed til vores systemer,“ bekræfter SAS-pressechefen og oplyser samtidig, at SAS kigger på flere værktøjer, som selskabet skal have implementeret.

Ifølge SAS er der allerede investeret i datasikkerhed, og der vil også kunne investeres mere, end SAS allerede har gjort.

”Det er generelt sikre systemer, men de er ikke mere sikre, end at en anløben person vil kunne gøre noget ulovligt. Så det er kun fantasien, der sætter grænser for, hvad man kan gøre,“ siger Trine Kromann-Mikkelsen.

Let at få adgang til passagerdata
Og der skal ikke meget fantasi og anløbenhed for at sikre sig detaljerede passagerdata. Det kræver blot, at man får oplyst et reservationsnummer og har en internet-adgang. Dermed vil det være muligt øjeblikkeligt at se detaljerede informationer fra fremmede bookinger, der ikke er beskyttet at særlige PIN-koder.

Som eksempel kan bruges GGGI-sagen, hvor Venstres leder Lars Løkke Rasmussen på eget initiativ fremlagde dokumentation på alle flybilletter, der var købt via GGGI.

Dokumentationen indeholdt blandt andet bilag for en rejse til Paris med SAS, hvor følgende bookingnummer var nævnt: 2A6AZG. Gennem Amadeus-programmet CheckMyTrip var det muligt at finde alle informationer om Lars Løkke Rasmussens booking, herunder bonuskortnummer, sædevalg og bestillingsinformationer.

CheckMyTrip er nemlig et eksternt værktøj, som alle har adgang til fra nettet. Der kan i yderste konsekvens logges IP-adresser, som har været benyttet til søgninger på rejseplaner, men der er ikke tale om uretmæssigt at tilgå interne informationer fra lukkede interne IT-systemer.

Det rejser spørgsmålet om, hvorvidt passagerdata er beskyttet godt nok. Men det ønsker Amadeus ikke at tage stilling til. Da CHECK-IN.dk talte med en pressemedarbejder fra Amadeus Scandinavia mandag morgen, var der stor åbenhed. Men efterhånden som sagen omkring SAS-kilden eksploderede i løbet af mandagen, trak Amadeus følehornene til sig igen.

“Dette er en intern sag for SAS, hvorfor vi på nuværende tidspunkt ikke har kommentarer hertil,“ var den eneste kommentar, der kunne hentes fra kommunikationschef Åsa Brögger fra Amadeus Scandinavia.