Eccesso di privacy? Non in questo caso. Security Research Labs , gruppo attivo in ambito della protezione dei dati, ha rivelato gravi falle sulla gestione dei dati personali dei viaggiatori da parte dei Global Distributed Systems (GDS), ovvero quei sistemi di prenotazione online utilizzati in tutto il mondo da compagnie aeree, hotel, tour operator, agenzie di viaggio. Stiamo parlando nel 90 per cento dei casi dei sistemi Amadeus, Sabre e Travelport . In questo caso l’allarme è più che giustificato.
La leggerezza con cui vengono trattati i dati che gravitano attorno a questi software e sistemi di prenotazione online è disarmante. Si spazia da “autenticazioni deboli” dei viaggiatori a evidenti rischi di potenziali attacchi , fino ad arrivare a gravissime falle di sistema che permetterebbero a malintenzionati di realizzare furti d’identità e non solo. Le misure di sicurezza su cui si basano questi sistemi informatici rispettano standard vecchi di 30 anni o più. E ci si chiede come mai un mondo così evoluto come quello delle prenotazioni di viaggio (è in questo ambito ad esempio che il cloud ha trovato le prime soddisfazioni) non sia stato adeguato e aggiornato ai più basilari requisiti moderni. Nel momento in cui c’è un’elevata attenzione di tutti (comprese le istituzioni) verso il tema della protezione dei dati e la salvaguardia della privacy, l’immobilismo del settore “travel” preoccupa ed irrita.
Andando ad analizzare caso per caso si scopre ad esempio che i GDS non godono di un sistema funzionale e sicuro per autenticare i viaggiatori . Per risalire ad una prenotazione è spesso sufficiente un solo codice PNR di sei cifre . Il dibattito oggi ruota attorno all’eventuale introduzione di un secondo o terzo fattore di autenticazione: in questo caso perfino il primo e unico è del tutto insufficiente. Lo stesso codice infatti viene stampato sulla carta d’imbarco e sulle etichette del bagaglio , potenzialmente visibili a chiunque (per lo più accompagnato da altri dati d’accesso come il cognome del passeggero).
Questo sistema è tra l’altro facilmente scavalcabile con un attacco semplice. Un “classico” attacco brute force (ovvero a tentativi forzati) sarebbe sufficiente per scovare il codice e avere accesso ai dati del passeggero. Il fatto che due GDS su tre generino i codici PNR in maniera sequenziale non fa altro che agevolare. A questo si può aggiungere che i siti di prenotazione non prevedono alcuna limitazione nel numero di tentativi di immissione del PNR. È così possibile per chiunque poter fare decine di tentativi avendo come secondo dato solo il cognome del passeggero. E pensare che basterebbe introdurre (almeno come soluzione di base) delle limitazioni sul numero di tentativi di immissione del PNR da singolo IP e dei captcha per aiutare ad evitare attacchi brute force.
La penetrazione nel sistema quindi è un gioco da ragazzi per chi ha un minimo di esperienza informatica. Ma cosa si può fare nel concreto violando una prenotazione? Recuperare informazioni di contatto tra cui numero di telefono, email, indirizzo di casa, date di viaggio, informazioni sul passaporto. Ma non solo. Si può andare oltre compiendo modifiche all’itinerario di viaggio , effettuare cancellazioni , sfruttare in maniera truffaldina eventuali punti frequent flyer per acquistare viaggi gratuiti . Fino a scadere in vere e proprie truffe: possedendo così tante informazioni su viaggiatori e viaggi risulta abbastanza facile fingersi un’agenzia di viaggi o una compagnia aerea ed estorcere con l’inganno ulteriori informazioni riuscendo a carpire anche numeri di carte di credito e altri dati sensibili. A vederla così il mondo delle prenotazioni online sembrerebbe la patria del phishing.
Il motivo di un’ingenuità così disarmante si scontra apertamente con tutta una serie di procedure e tecnologie che sono state introdotte fisicamente in luoghi pubblici primi tra tutti gli aeroporti (i metal detector evoluti ne sono un esempio così come i controlli biometrici e analisi dell’iride ). Da un lato ci dotiamo di tecnologie sempre più sofisticate in grado di tracciare i movimenti dei passeggeri o perfino di misurare lo stato d’ansia di un passeggero valutando eventuali rischi per l’incolumità delle persone: dall’altro ci scordiamo di chiudere la porta di casa. Così va il tecnologico mondo moderno.
Mirko Zago