Prenotazioni online, viaggiatori esposti?

Gli aeroporti sono sempre più blindati. Ma i sistemi che gestiscono i dati di viaggio sono fermi a un livello di sicurezza di almeno 30 anni fa

Roma – Eccesso di privacy? Non in questo caso. Security Research Labs , gruppo attivo in ambito della protezione dei dati, ha rivelato gravi falle sulla gestione dei dati personali dei viaggiatori da parte dei Global Distributed Systems (GDS), ovvero quei sistemi di prenotazione online utilizzati in tutto il mondo da compagnie aeree, hotel, tour operator, agenzie di viaggio. Stiamo parlando nel 90 per cento dei casi dei sistemi Amadeus, Sabre e Travelport . In questo caso l’allarme è più che giustificato.

dati viaggi rivelati

La leggerezza con cui vengono trattati i dati che gravitano attorno a questi software e sistemi di prenotazione online è disarmante. Si spazia da “autenticazioni deboli” dei viaggiatori a evidenti rischi di potenziali attacchi , fino ad arrivare a gravissime falle di sistema che permetterebbero a malintenzionati di realizzare furti d’identità e non solo. Le misure di sicurezza su cui si basano questi sistemi informatici rispettano standard vecchi di 30 anni o più. E ci si chiede come mai un mondo così evoluto come quello delle prenotazioni di viaggio (è in questo ambito ad esempio che il cloud ha trovato le prime soddisfazioni) non sia stato adeguato e aggiornato ai più basilari requisiti moderni. Nel momento in cui c’è un’elevata attenzione di tutti (comprese le istituzioni) verso il tema della protezione dei dati e la salvaguardia della privacy, l’immobilismo del settore “travel” preoccupa ed irrita.

Andando ad analizzare caso per caso si scopre ad esempio che i GDS non godono di un sistema funzionale e sicuro per autenticare i viaggiatori . Per risalire ad una prenotazione è spesso sufficiente un solo codice PNR di sei cifre . Il dibattito oggi ruota attorno all’eventuale introduzione di un secondo o terzo fattore di autenticazione: in questo caso perfino il primo e unico è del tutto insufficiente. Lo stesso codice infatti viene stampato sulla carta d’imbarco e sulle etichette del bagaglio , potenzialmente visibili a chiunque (per lo più accompagnato da altri dati d’accesso come il cognome del passeggero).

Questo sistema è tra l’altro facilmente scavalcabile con un attacco semplice. Un “classico” attacco brute force (ovvero a tentativi forzati) sarebbe sufficiente per scovare il codice e avere accesso ai dati del passeggero. Il fatto che due GDS su tre generino i codici PNR in maniera sequenziale non fa altro che agevolare. A questo si può aggiungere che i siti di prenotazione non prevedono alcuna limitazione nel numero di tentativi di immissione del PNR. È così possibile per chiunque poter fare decine di tentativi avendo come secondo dato solo il cognome del passeggero. E pensare che basterebbe introdurre (almeno come soluzione di base) delle limitazioni sul numero di tentativi di immissione del PNR da singolo IP e dei captcha per aiutare ad evitare attacchi brute force.

La penetrazione nel sistema quindi è un gioco da ragazzi per chi ha un minimo di esperienza informatica. Ma cosa si può fare nel concreto violando una prenotazione? Recuperare informazioni di contatto tra cui numero di telefono, email, indirizzo di casa, date di viaggio, informazioni sul passaporto. Ma non solo. Si può andare oltre compiendo modifiche all’itinerario di viaggio , effettuare cancellazioni , sfruttare in maniera truffaldina eventuali punti frequent flyer per acquistare viaggi gratuiti . Fino a scadere in vere e proprie truffe: possedendo così tante informazioni su viaggiatori e viaggi risulta abbastanza facile fingersi un’agenzia di viaggi o una compagnia aerea ed estorcere con l’inganno ulteriori informazioni riuscendo a carpire anche numeri di carte di credito e altri dati sensibili. A vederla così il mondo delle prenotazioni online sembrerebbe la patria del phishing.

Il motivo di un’ingenuità così disarmante si scontra apertamente con tutta una serie di procedure e tecnologie che sono state introdotte fisicamente in luoghi pubblici primi tra tutti gli aeroporti (i metal detector evoluti ne sono un esempio così come i controlli biometrici e analisi dell’iride ). Da un lato ci dotiamo di tecnologie sempre più sofisticate in grado di tracciare i movimenti dei passeggeri o perfino di misurare lo stato d’ansia di un passeggero valutando eventuali rischi per l’incolumità delle persone: dall’altro ci scordiamo di chiudere la porta di casa. Così va il tecnologico mondo moderno.

Mirko Zago

fonte immagine

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • GreenDrake scrive:
    cause dettagliate della esplosione
    Ho trovato un bel video [yt]mBcoTqhAM_g[/yt] in cui viene spiegato in dettaglio la causa della esplosione.Come detto nell'articolo utilizzeranno dell'elio liquido ad una temperatura più elevata, così che se verrà a contatto contatto con l'ossigeno liquido, quest'ultimo non si solidificherà portando alle conseguenze catastrofiche che si sono verificate.
  • rico scrive:
    traduzione
    "gas in forma liquida che viene pompato per fungere da carburante", cioè ossigeno liquido. Infiammabile ma traducibile.
    • randa possa scrive:
      Re: traduzione
      - Scritto da: rico
      "gas in forma liquida che viene pompato per
      fungere da carburante", cioè ossigeno liquido.
      Infiammabile ma traducibile.L'ossigeno non è "carburante" (https://it.wikipedia.org/wiki/Carburante), ma il comburente.
      • Alvaro Vitali scrive:
        Re: traduzione
        - Scritto da: randa possa

        L'ossigeno non è "carburante"
        (https://it.wikipedia.org/wiki/Carburante), ma il
        comburente.Il problema è che non lo sanno neppure quelli di SpaceX; dalla descrizione che hanno dato dell'incidente, dimostrano di non avere molta dimestichezza con materie tipo la fisica e la chimica ...
  • pinuccio scrive:
    dilettanti
    questi della space-x sono dei dilettanti, pinuccio invece ha brevettato un sistema di atterraggio verticale, sperimentato con sucXXXXX già più di 100 volte, per i suoi missiloni marroni sul piatto della turca.
  • ... scrive:
    esplosione, solo un brutto ricordo
    fino alla prossima esplosione.
  • caio scrive:
    Per la redazione
    Un articolo per ogni prurito del XXXX di SpaceX non vi sembra un po troppo?Non esistono solo loro. Ci sono parecchie agenzie spaziali nel mondo che fanno tanto lavoro.
    • ... scrive:
      Re: Per la redazione
      - Scritto da: caio
      Un articolo per ogni prurito del XXXX di SpaceX
      non vi sembra un po
      troppo?
      Non esistono solo loro. Ci sono parecchie agenzie
      spaziali nel mondo che fanno tanto
      lavoro.traducono qualunque cosa gli capiti nel loro rss: auto, moto, schede video, nuovi detersivi.... tutto fa brodo.
Chiudi i commenti