La gente posta online le foto dei propri biglietti. Perché non dovrebbe farlo? Solo su Instagram si possono trovare migliaia di foto di biglietti di concerti, di voli e anche della lotteria.
Se lo fanno tutti, perché non dovreste farlo voi?
A dire il vero, l’ultima cosa da fare in assoluto è postare online un biglietto o una carta d’imbarco. Questo pezzo di carta contiene dati che permettono a tutti di rubare il vostro biglietto (non stiamo esagerando!), di accumulare miglia aeree o anche di giocarvi qualche brutto tiro. Più di un anno fa abbiamo parlato delle brutte cose che la gente può fare con le informazioni di un biglietto. Recentemente, i ricercatori di sicurezza Karsten Nohl e Nemanja Nikodijevic hanno riaperto la questione al Chaos Communication Congress (33C3).
Le compagnie aeree, le agenzie di viaggio, i siti che confrontano i prezzi e molti altri servizi lavorano insieme per garantire facili opportunità di prenotazione ai passeggeri. Il settore utilizza il Sistema di Distribuzione Globale (GDS) per verificare la disponibilità dei voli, per assicurarsi che i posti non vengano prenotati due volte e così via. Il GDS è strettamente connesso con i servizi web (ma non con la migliore protezione). Di conseguenza, oggi la tecnologia GDS non è aggiornata in termini di protezione e fornisce ai criminali una grande superficie d’attacco.
Sebbene al momento esistano circa 20 fornitori di GDS, i ricercatori di sicurezza Nohl e Nikodijevic si sono centrati su tre sistemi principali: Sabre (fondato nel 1960), Amadeus (fondato nel 1987) e Galileo (adesso unità di Traverlport). Questi sistemi gestiscono più del 90% delle prenotazioni dei voli, così come anche quelle degli hotel, delle automobili e altre prenotazioni.
Ad esempio, Lufthansa e AirBerlin utilizzano Amadeus e il tour operator Expedia. American Airlines e la compagnia russa Aeroflot utilizzano Sabre. Ad ogni modo è difficile dire con sicurezza quale GDS archivia i dati di un particolare passeggero. Ad esempio, se prenotate un biglietto per un volo dell’American Airlines su Expedia, sia il sistema Amadeus che il sistema Sabre registrano la transazione.
Dipendendo dalle regole del sistema di prenotazione, i registri del GDS contengono generalmente il nome del passeggero, il numero di telefono, la data di nascita e i dati del passaporto, così come anche il numero del biglietto, l’aeroporto di partenza e di arrivo e la data e l’ora del volo. Include anche le informazioni del pagamento (come il numero della carta di credito). In poche parole, si tratta di informazioni abbastanza riservate.
Nohl e Nikodijevic hanno evidenziato che tanta gente ha accesso a questi dati, incluso chi lavora per le compagnie aeree, i tour operator, i rappresentanti di alberghi e altri agenti. I ricercatori credono che anche le agenzie governative possano avere accesso a questi dati. Ma questa è solo la punta dell’iceberg.
Per avere accesso a queste informazioni e per cambiarle, i GDS utilizzano il nome del viaggiatore come login e un codice di prenotazione di 6 cifre (la maggior parte dei viaggiatori lo conoscono come codice PNR) come password. Sì, si tratta del PNR che è stampato sulle carte di imbarco e sulle etichette dei bagagli. Lo usano come password.
Nohl durante la conferenza ha affermato che “se il PNR può essere una password sicura, allora dovrebbe essere trattata come tale. Ma non è un segreto: il codice viene stampato su ogni bagaglio. Prima veniva stampato sulle carte di imbarco, fino a quando è stato sostituto da un codice a barre”. Quel codice a barre, ad ogni modo, contiene ancora il PNR.
La maggior parte dei viaggiatori non conosce i meccanismi interni del settore del trasporto aereo, quindi pubblicano online i propri biglietti con il PNR, criptato in un codice a barre. Ad ogni modo, un codice a barre non è un mistero; un software speciale è in grado di leggerlo. Quindi chiunque scatti una foto dell’etichetta del vostro bagaglio in un aeroporto o chiunque veda il vostro biglietto in rete può aver accesso ai vostri dati privati. Non c’è bisogno di essere un hacker per servirsi delle vulnerabilità del PNR (basta sapere dove guardare). Nel seguente video potete vedere come Nohl e Nikodikevic hanno decodificato il codice a barre da una foto di un biglietto aereo su Instagram.
Inoltre, molte compagnie aeree e siti che controllano i viaggi non bloccano gli utenti che inseriscono per tante volte i codici sbagliati. Di conseguenza, i criminali possono scegliere cognomi famosi come Smith e semplicemente forzare i PNR di questi passeggeri. Non è difficile: il codice è formato da sei cifre e gli algoritmi di generazione dei codici sono spesso molto deboli. Ad esempio, alcuni di questi ripetono i primi due caratteri in sequenza e tutti i PNR creati in una particolare data iniziano con gli stessi caratteri. Altri fornitori utilizzano codici specifici per determinate compagnie aeree. Queste pratiche restringono le cifre che deve indovinare un hacker.
Al Chaos Communication Congress, Nohl e Nikodijevic hanno dimostrato che si impiegano davvero pochi minuti per hackerare un PNR. Dal minuto 30 al 45 dello stesso video, troverete una spiegazione dettagliata su come funziona, così come anche una dimostrazione in tempo reale dell’intero processo.
La conclusione è che i criminali possono creare i GDS per i dati sensibili dei passeggeri e usarli per fare phishing. Pensate a questa situazione: il sig. Smith prenota un volo per Berlino e 10 minuti dopo riceve una mail dalla sua compagnia aerea che gli chiede di confermare le informazioni della sua carta di credito. La mail include nome e cognome, aeroporto di destinazione ad altri dettagli della prenotazione. Non sembra credibile? Ovviamente! Il sig. Smith cliccherà probabilmente sul link della mail e fornirà le informazioni della sua carta di credito (ma a un sito web falso).
Inoltre, utilizzando un PNR e avendo cercato altri dati personali, gli hacker potrebbero essere in grado di cambiare i dati del biglietto. Potrebbero annullare il biglietto e farsi rimborsare il denaro sul proprio conto. O potrebbero cambiare il nome, il cognome, il numero di passaporto del proprietario e inserire i dati di un’altra persona che potrebbe utilizzare il biglietto per viaggiare. Un criminale più cauto e generoso potrebbe semplicemente cambiare i dati da viaggiatore abituale e rubare le miglia che il proprietario del biglietto aveva accumulato. Infine, usando i PNR come password, i GDS offrono agli hacker viaggi gratuiti, miglia illimitate e anche soldi.
Un’altra cosa deludente: sebbene gli esperti e i media abbiano sollevato il problema diverse volte negli ultimi anni, le aziende GDS si rifiutano ancora di registrare gli accessi PNR. Ecco perché nessuno può tracciare la grande maggioranza dei casi di abusi. Sono noti solo pochi incidenti (ad esempio, quando i criminali rubano i biglietti dei viaggiatori e le vittime si lamentano). Per quanto riguarda le truffe e i furti di dati, gli specialisti non sono in grado di valutare l’entità del problema.
Nohl e Nikodijevic sono sicuri del fatto che i clienti non possono aspettarsi cambiamenti sostanziali a breve. L’intero sistema di prenotazione deve essere riscritto e sfortunatamente solo un aumento delle truffe PNR può fare in modo che le compagnie aeree lo facciano.
Per adesso, consigliamo due semplici linee d’azione: stare attenti e non pubblicare mai in rete le vostre carte d’imbarco. Anche un vecchio biglietto può fornire tante vostre informazioni personali.