Karsten Nohl และ Nemanja Nikodijevic จาก Security Research Labs กรุงเบอร์ลิน ได้ตรวจสอบระบบความปลอดภัยของ Global Distribution System (GDS) ที่ใช้งานกันอย่างแพร่หลายในกลุ่มตัวแทนจำหน่ายตั๋ว, สายการบิน, โรงแรม, และบริษัทให้เช่ารถ ซึ่งพบช่องโหว่หลายอย่าง จนนำมาสู่การนำเสนอในงานประชุม Chaos Communications Congress เมื่อวันอังคารที่ผ่านมา
GDS เป็นระบบฐานข้อมูลที่มีมาตั้งแต่ยุคเมนเฟรม และเก็บข้อมูลทั้งหมดเกี่ยวกับการจองตั๋ว ไม่ว่าจะเป็นชื่อนักเดินทาง, วันเวลาเดินทาง, กำหนดการต่างๆ, รายละเอียดตั๋ว, เบอร์โทรศัพท์และอีเมล์, ข้อมูลพาสปอร์ต, ข้อมูลบัตรเครดิต, เลขที่นั่ง, และข้อมูลกระเป๋าโหลด ซึ่งข้อมูลทั้งหมดนี้รวมกันเรียกว่า Passenger Name Record (PNR)
ซึ่งผู้ให้บริการ GDS รายใหญ่ของโลก 3 เจ้าได้แก่ Sabre, Travelport, และ Amadeus มีเก็บข้อมูล PNR อยู่ในหลักหลายร้อยล้านรายการตลอดเวลา ซึ่งการขอแก้ไขข้อมูลทำได้เพียงแค่ใส่นามสกุล และโค้ดบุ๊กกิ้ง 6 หลักเท่านั้น ระบบ GDS มีจุดเข้าถึงหลากหลายมาก ไม่ว่าจะเป็นเว็บไซต์ของสายการบินและตัวแทนจำหน่าย รวมทั้งเว็บเธิร์ดปาร์ตี้อย่าง CheckMyTrip นอกจากนี้โค้ดบุ๊กกิ้งยังไม่ได้มีการจัดเก็บเป็นความลับเท่าที่ควร ไม่ว่าจะมีทั้งพิมพ์อยู่บนป้ายแท๊กบนกระเป๋า หรือแม้แต่พิมพ์บนตั๋วในรูป QR code ที่คนส่วนใหญ่ชอบถ่ายรูปตั๋วโชว์ลงโซเชียล
แม้แต่ตัวแทนจำหน่ายตั๋ว ก็มีข้อมูลล็อกอินและรหัสผ่านมาสเตอร์ของระบบ GDS ที่สามารถเข้าไปแก้ไขข้อมูลตั๋วของใครก็ได้ การโจมตีอาจมีตั้งแต่การแก้ไขจำนวนไมล์สะสมย้ายมาไว้ในบัญชีตัวเอง จนไปถึงการยกเลิกตั๋ว โดยเฉพาะถ้าตั๋วนั้นเป็นแบบ Flexible ก็สามารถโอนเครดิตที่ได้คืนมาจองตั๋วให้ตัวเองแทนได้ด้วย และที่สำคัญที่สุด ระบบ GDS ไม่มีการบันทึก Log ซึ่งสืบย้อนกลับไม่ได้ว่ามีใครเคยไปแก้ไขอะไรตอนไหน เป็นต้น
