Diverse compagnie aeree hanno sistemi informatici insicuri, che espongono i dati dei viaggiatori e in qualche caso rendono possibili veri e propri furti. Lo hanno scoperto i ricercatori di Wandera, società di sicurezza IT, che puntano il dito su alcune compagnie piuttosto importanti.
Si è scoperto che i sistemi di biglietteria elettronica (eticketing) di alcune compagnie (AirFrance, KLM, Vueling e Air Europa tra di esse) hanno link che si possono intercettare, e che permettono di visualizzare i dati personali. In alcuni casi è anche possibile modificare la prenotazione e stampare la carta d’imbarco. In altre parole, rubare la prenotazione di qualcun altro – un rischio remoto ma non nullo.
L’attacco è possibile tramite il sistema di check-in online. Una volta che il passeggero clicca, è possibile intercettare il traffico e ottenere l’accesso all’area riservata sul sito della compagnia aerea. Qui si possono vedere dati personali, compreso il numero di passaporto o la sua scansione, se presente; verificare i posti assegnati, o in alcuni casi persino cambiare l’identità dei passeggeri.
Il problema, spiegano i tecnici di Wandera, è che le compagnie in questioni non usano connessioni crittografate quando dovrebbero. Un eventuale criminale dovrebbe attivamente esaminare le reti alla ricerca di potenziali vittime, ma potrebbe trovare interessante farlo alla caffetteria di un aeroporto.
Ci si può immaginare la scena: si arriva al gate o al banco del check in, e si scopre che il posto che abbiamo prenotato e pagato non esiste, e che il numero di prenotazione che abbiamo è intestato a un’altra persona. Si potrebbe ottenere un rimborso, certo, ma il tempo necessario a risolvere la questione ci farebbe probabilmente perdere l’aereo.
Non è il pericolo peggiore comunque: chi dovesse accedere illegalmente a quei dati, infatti, potrebbe abusarne in altri modi. Creando account su altri siti per esempio, o facendo acquisti usando la nostra identità. Una cosa piuttosto semplice se si dispone di tutti i dati anagrafici, di documenti di identità validi e del numero di cellulare. Quest’ultimo dato è particolarmente rischioso, considerando che non è raro trovare un negozio dove si può “rifare” la SIM senza troppe difficoltà; a quel punto si accede facilmente a Whatsapp e a molti servizi dove è attiva l’autenticazione in due fattori.
Sono tutte minacce potenziali, e le storie di persone vere che hanno subito un furto di identità forse non sono poi molte. Tuttavia le aziende a cui affidiamo i nostri dati diventano inevitabilmente dei bersagli, per la quantità di informazioni che conservano sui loro server.
Per questo è fondamentale che ognuna di esse presti la massima attenzione alla sicurezza IT, e che investa quanto necessario per assicurare il massimo livello di protezione possibile. Attività come quella di Wandera, che ha segnalato il problema alle società secondo le regole della Responsible disclosure, sono particolarmente importanti. Così come regolamenti internazionali mirati a rafforzare la sicurezza di tutti, come il GDPR.
