CISO Advisor: 238.450 page views/mês - 90.230 usuários/mês - 5.312 assinantes

Dados de passageiros vazam em links de check-in

Paulo Brito
06/02/2019

Várias empresas aéreas estão enviando a seus passageiros links de check-in contendo falhas: é possível utilizá-los para exibir as informações do passageiro e em certos casos até alterá-las, o que representa um perigo para o transporte aéreo. A informação foi publicada pela Wandera, uma empresa da Inglaterra que faz segurança para dispositivos móveis, em um relatório sobre o assunto.

A Wandera notificou cada uma das companhias aéreas afetadas em dezembro de 2018 e janeiro de 2019, e compartilhou suas descobertas com órgãos governamentais responsáveis pela segurança dos aeroportos na Inglaterra. “Infelizmente, não conseguimos verificar se alguma correção foi implementada. Nossos pesquisadores confirmaram que alguns dos sistemas de e-ticketing ainda estão expondo dados, então o problema não foi resolvido ”, afirmou o vice-presidente da empresa, Michael Covington.

Os membros da equipe de pesquisa de ameaças de empresa notaram, em dezembro passado, que os links enviados pela Air France aos passageiros por meio do sistema de bilhetagem eletrônica não eram protegidos por nenhum tipo de criptografia

[box type=”note” style=”rounded” border=”full”]Esses links geralmente são enviados por empresas via e-mail ou SMS e são usados para iniciar o processo de check-in.[/box]

Outras análises revelaram que links também desprotegidos foram enviados por outras grandes companhias aéreas, incluindo a Southwest nos EUA, a KLM e a Transavia na Holanda, a Vueling e a Air Europe na Espanha, a Jetstar na Austrália e a Thomas Cook no Reino Unido. O primeiro problema é que os links iniciam uma conexão via HTTP em vez de HTTPS. O link em si, como disse Covington, à revista SecurityWeek, inclui um localizador de registros, a origem do voo e seu destino e, em alguns casos, o nome do passageiro. As companhias aéreas usam esses dados para identificar cada passageiro e fornecer acesso aos detalhes de sua reserva.

O relatório da Wandera sobre o tema afirma que “os procedimentos de embarque variam de aeroporto para aeroporto e podem ser mais ou menos seguros. O aspecto mais preocupante dessa vulnerabilidade é que, em alguns casos, um hacker ou criminoso pode imprimir o cartão de embarque da vítima e até tentar embarcar em um vôo”. A empresa de segurança assinalou uma recente reportagem informando que um homem viajou do Reino Unido para a Polônia, embarcou no avião errado e acabou em Malta. O incidente levantou preocupações sobre a exibição de cartões de embarque, já que o homem tinha uma passagem para a Polônia.

A Wandera acha que as companhias aéreas devem criptografar as comunicações para o processo de check-in, devendo implementar mecanismos adicionais de autenticação para processos que envolvam acesso a informações pessoais (especialmente se essas informações puderem ser editadas) e usar tokens únicos para links diretos entregues via e-mail ou SMS.

 

Compartilhar: