Mirko Zago

Prenotazioni online, viaggiatori esposti?

Gli aeroporti sono sempre più blindati. Ma i sistemi che gestiscono i dati di viaggio sono fermi a un livello di sicurezza di almeno 30 anni fa

Roma - Eccesso di privacy? Non in questo caso. Security Research Labs, gruppo attivo in ambito della protezione dei dati, ha rivelato gravi falle sulla gestione dei dati personali dei viaggiatori da parte dei Global Distributed Systems (GDS), ovvero quei sistemi di prenotazione online utilizzati in tutto il mondo da compagnie aeree, hotel, tour operator, agenzie di viaggio. Stiamo parlando nel 90 per cento dei casi dei sistemi Amadeus, Sabre e Travelport. In questo caso l'allarme è più che giustificato.

dati viaggi rivelati


La leggerezza con cui vengono trattati i dati che gravitano attorno a questi software e sistemi di prenotazione online è disarmante. Si spazia da "autenticazioni deboli" dei viaggiatori a evidenti rischi di potenziali attacchi, fino ad arrivare a gravissime falle di sistema che permetterebbero a malintenzionati di realizzare furti d'identità e non solo. Le misure di sicurezza su cui si basano questi sistemi informatici rispettano standard vecchi di 30 anni o più. E ci si chiede come mai un mondo così evoluto come quello delle prenotazioni di viaggio (è in questo ambito ad esempio che il cloud ha trovato le prime soddisfazioni) non sia stato adeguato e aggiornato ai più basilari requisiti moderni. Nel momento in cui c'è un'elevata attenzione di tutti (comprese le istituzioni) verso il tema della protezione dei dati e la salvaguardia della privacy, l'immobilismo del settore "travel" preoccupa ed irrita.
Andando ad analizzare caso per caso si scopre ad esempio che i GDS non godono di un sistema funzionale e sicuro per autenticare i viaggiatori. Per risalire ad una prenotazione è spesso sufficiente un solo codice PNR di sei cifre. Il dibattito oggi ruota attorno all'eventuale introduzione di un secondo o terzo fattore di autenticazione: in questo caso perfino il primo e unico è del tutto insufficiente. Lo stesso codice infatti viene stampato sulla carta d'imbarco e sulle etichette del bagaglio, potenzialmente visibili a chiunque (per lo più accompagnato da altri dati d'accesso come il cognome del passeggero).

Questo sistema è tra l'altro facilmente scavalcabile con un attacco semplice. Un "classico" attacco brute force (ovvero a tentativi forzati) sarebbe sufficiente per scovare il codice e avere accesso ai dati del passeggero. Il fatto che due GDS su tre generino i codici PNR in maniera sequenziale non fa altro che agevolare. A questo si può aggiungere che i siti di prenotazione non prevedono alcuna limitazione nel numero di tentativi di immissione del PNR. È così possibile per chiunque poter fare decine di tentativi avendo come secondo dato solo il cognome del passeggero. E pensare che basterebbe introdurre (almeno come soluzione di base) delle limitazioni sul numero di tentativi di immissione del PNR da singolo IP e dei captcha per aiutare ad evitare attacchi brute force.

La penetrazione nel sistema quindi è un gioco da ragazzi per chi ha un minimo di esperienza informatica. Ma cosa si può fare nel concreto violando una prenotazione? Recuperare informazioni di contatto tra cui numero di telefono, email, indirizzo di casa, date di viaggio, informazioni sul passaporto. Ma non solo. Si può andare oltre compiendo modifiche all'itinerario di viaggio, effettuare cancellazioni, sfruttare in maniera truffaldina eventuali punti frequent flyer per acquistare viaggi gratuiti. Fino a scadere in vere e proprie truffe: possedendo così tante informazioni su viaggiatori e viaggi risulta abbastanza facile fingersi un'agenzia di viaggi o una compagnia aerea ed estorcere con l'inganno ulteriori informazioni riuscendo a carpire anche numeri di carte di credito e altri dati sensibili. A vederla così il mondo delle prenotazioni online sembrerebbe la patria del phishing.

Il motivo di un'ingenuità così disarmante si scontra apertamente con tutta una serie di procedure e tecnologie che sono state introdotte fisicamente in luoghi pubblici primi tra tutti gli aeroporti (i metal detector evoluti ne sono un esempio così come i controlli biometrici e analisi dell'iride). Da un lato ci dotiamo di tecnologie sempre più sofisticate in grado di tracciare i movimenti dei passeggeri o perfino di misurare lo stato d'ansia di un passeggero valutando eventuali rischi per l'incolumità delle persone: dall'altro ci scordiamo di chiudere la porta di casa. Così va il tecnologico mondo moderno.

Mirko Zago

fonte immagine
Notizie collegate
  • AttualitàAeroporti, RFID per tuttiSi parte in un terminal ungherese i cui viaggiatori saranno invitati ad indossare un collare con RFID incorporato, per sapere come si muovono all'interno delle aerostazioni e cosa fanno quando sono in transito
  • AttualitàL'occhio invisibile misura l'ansia di tuttiServirà per stanare i terroristi in procinto di decollare, per scremare qualsiasi luogo sicuro dai malintenzionati, per individuare chi suda troppo. Ci lavorano negli USA, patria di scanner millimetrici e macchine della verità
  • Attualità17 secondi per il controllo all'aeroportoIl test sui sistemi biometrici a Heathrow confermano la qualità del servizio: i 3000 volontari si sono detti soddisfatti della facilità d'uso e della velocità dei controlli. Biometria avanti tutta
8 Commenti alla Notizia Prenotazioni online, viaggiatori esposti?
Ordina
  • La sicurezza costa, i costi riducono i profitti... se poi i dati sono i TUOI e allora lì si che non ce ne frega più un *****.

    Capito?! Ecco bravo.

    Questo vale per tutti i settori.
    non+autenticato
  • - Scritto da: settore travel
    > La sicurezza costa, i costi riducono i
    > profitti...

    Anche i danni riducono i profitti.

    > se poi i dati sono i TUOI e allora lì
    > si che non ce ne frega più un
    > *****.
    >
    > Capito?! Ecco bravo.

    E allora invece di usare le tue procedure automatiche che ti fanno risparmiare, io pretendo da parte tua una onerosa gestione CARTACEA, scritta a mano da impiegati alle tue dipendenze.

    Oppure mi rivolgo alla concorrenza.

    > Questo vale per tutti i settori.

    Se i clienti fossero consapevoli, invece di quel gregge di ovini che sono, tu saresti gia' fallito da un pezzo.
  • - Scritto da: panda rossa
    > - Scritto da: settore travel
    > > La sicurezza costa, i costi riducono i
    > > profitti...
    >
    > Anche i danni riducono i profitti.

    Ah si? E perchè M$ e Google continuano a macinare profitti con i colapasta?

    >
    > > se poi i dati sono i TUOI e allora lì
    > > si che non ce ne frega più un
    > > *****.
    > >
    > > Capito?! Ecco bravo.
    >
    > E allora invece di usare le tue procedure
    > automatiche che ti fanno risparmiare, io pretendo
    > da parte tua una onerosa gestione CARTACEA,
    > scritta a mano da impiegati alle tue
    > dipendenze.

    Tu non pretendi un bel niente, se non ti piace resti a casa e non viaggi.

    >
    > Oppure mi rivolgo alla concorrenza.
    >

    Che usa lo stesso software...

    > > Questo vale per tutti i settori.
    >
    > Se i clienti fossero consapevoli, invece di quel
    > gregge di ovini che sono, tu saresti gia' fallito
    > da un
    > pezzo.

    E invece faccio soldi a palate.
    non+autenticato
  • molto interessante il Suo pezzo, mi occupo di turismo e vorrei approfondire alcuni passaggi, può cortesemente contattarmi via LinkedIn? https://www.linkedin.com/in/rgentile

    grazie
    non+autenticato
  • il buon krebs, 1 anno e mezzo fa, aveva fatto questo simpatico articolo... https://krebsonsecurity.com/2015/10/whats-in-a-boa.../

    del resto, aime', sono cose abbastanza note... appiccicare sistemi legacy ad internet e' cosa insana. Ma lo hanno fatto tutti.
    non+autenticato
  • Hanno scoperto l'acqua calda; questa faccenda va avanti da anni, ma porvi rimedio non si può, perché i bambocci, in assenza di punizioni, giustamente non si muovono.
    Che bambocci sarebbero, altrimenti?
    non+autenticato
  • - Scritto da: uohuoih
    > Hanno scoperto l'acqua calda; questa faccenda va
    > avanti da anni, ma porvi rimedio non si può,
    > perché i bambocci, in assenza di punizioni,
    > giustamente non si
    > muovono.
    > Che bambocci sarebbero, altrimenti?

    Più che bambocci la domanda è chi ci mette i soldi?
    Conta che questi sistemi integrano biglietterie, compagnie aeree, sistemi informatici degli aereoporti (con smistamento bagagli), etc.
    Mettere daccordo tante società indipendenti e fargli tirare fuori i soldi non è semplicissimo.
    non+autenticato
  • Vedi che se sono responsabili per la perdita/furto dei dati dei clienti, riescono a mettesrsi daccordo in un attimo.
    Sono bambocci proprio, perché come nell'infanzia giocano completamente deresponsabilizzati, tranne che per il loro obiettivo del momento.
    I soldi, ovviamente.
    non+autenticato