Você já deve ter visto fotos de passagens aéreas nas mídias sociais. Apesar de ser algo inseguro, não impede que o Instagram esteja repleto de milhares de imagens, exibindo bilhetes, ingressos de shows e até tickets de loteria.
Se todo mundo faz isso, por que você não deveria?
Na verdade, publicar uma passagem online é uma das piores coisas que você deve fazer. Esse pedaço de papel contém dados que permitem a qualquer pessoa roubar sua passagem (sem exagero), acumular milhas, ou causar uma tremenda confusão em sua viagem. Há mais de um ano, discutimos os tipos de piada de péssimo gosto que alguém poderia pregar por meio das informações obtidas com sua passagem. Recentemente, os especialistas em segurança Karsten Nohl e Nemanja Nikodijevic levantaram a discussão novamente, no Chaos Communication Congress (33С3).
Companhias aéreas, agências de viagem, sites de comparação de preços e muitos outros serviços trabalham juntos para fornecer oportunidades de reserva para passageiros. A indústria utiliza Sistemas Globais de Distribuição (GDS na sigla inglês) para verificar disponibilidade de voos, assegurar que o mesmo assento não seja reservado duas vezes, entre outros. Esses sistemas são altamente interligados a serviços Web – o que não pressupõe que possuam boa proteção. Como resultado, as interfaces GDS permanecem ultrapassadas em termos de segurança e fornecem aos criminosos uma grande superfície de ataque.
Embora seja possível apontar 20 empresas que lidam com GDS no momento, a dupla de especialistas tomou por foco três principais: Sabre (fundada em 1960), Amadeus (em 1987) e Galileu (hoje faz parte do Travelport). Esses sistemas administram mais de 90% das reservas de voos, hotéis, carros e outras reservas relacionadas a viagens.
Por exemplo, a Lufthansa e a AirBerlin trabalham com a Amadeus, e com o buscador Expedia. American Airlines e a russa Aeroflot possuem convênio com a Sabre. De qualquer forma, é difícil afirmar com certeza, qual GDS armazena os dados privados de um passageiro em particular: por exemplo, se você reserva uma passagem da American Airlines pelo Expedia, tanto Amadeus quanto Sabre registram a transação.
As regras do sistema de reservas variam. Os registros GDS normalmente contém nome do passageiro, número de telefone, data de nascimento, dados de passaporte, localizador, partida e destino, data e hora do voo. Também inclui informações de pagamento (como números de cartões de crédito). Ou seja, informações muito sensíveis.
Nohl e Nikodijevic pontuaram que muitas pessoas tem acesso a esses dados, incluindo linhas aéreas, agências de viagem, representantes de hostels, e outros agentes. Pesquisadores supõem que agências governamentais também têm acesso a esses dados. Mas isso é só a ponta do iceberg.
Para acessar e alterar essa informação, os sistemas usam o nome do passageiro como login e um código de reserva de 6 dígitos (a maioria dos viajantes os conhecem como PNR) como senha. Sim, aquele PNR impresso no cartão de embarque e etiquetas de bagagens. Uma senha.
“Se o PNR é utilizado como senha, tem de ser tratado como tal.”, Nohl afirmou na conferência. “Mas isso não é mantido em segredo: é impresso em toda peça de bagagem. Costumava estar impresso no cartão de embarque, até que foi substituído por um código de barras.” Esse código, no entanto, ainda contém o PNR.
A maioria dos passageiros não entende as minúcias da indústria de voos, de modo que publicam suas passagens online, expondo consequentemente o PNR. Contudo, um código de barra não é um mistério; softwares especiais podem lê-los. Dessa forma, qualquer um que tira uma foto de sua bagagem no aeroporto ou que encontra uma foto da sua passagem online pode acessar os dados privados atrelados à sua passagem. Não é preciso ser nenhum hacker para explorar as vulnerabilidades do PNR – simplesmente tem de saber para onde olhar. No vídeo abaixo você pode ver como Nohl e Nikodijevic decodificaram o código de barra de uma foto no Instagram.
Além disso, muitas linhas aéreas e sites de busca de viagens não bloqueiam usuários que tentam acessar contas com códigos errados diversas vezes. Por isso, cibercriminosos podem escolher nomes comuns como Souza e adivinhar os PNRs desses passageiros por tentativa e erro. Não é tão difícil: o código consiste em seis dígitos, e algoritmos de geração de códigos sofrem desse tipo de fraqueza com frequência. Por exemplo, alguns deles iteram os primeiros dois dígitos como sequência, e todos os PNR gerados em uma data em particular começam com os mesmos caracteres. Outros fornecedores usam códigos específicos para certas linhas aéreas. Essa prática diminui o número de dígitos que precisam ser adivinhados.
Na Chaos Communication Congress, Nohl e Nikodijevic demonstraram que hackear um PNR leva poucos minutos. Por volta de 30 a 45 minutos no mesmo vídeo, há uma explicação detalhada de como isso funciona, bem como uma demonstração em tempo real. Não está acreditando? Saiba mais…
O resultado final: criminosos podem usar o GDS para obter dados sensíveis a respeito de passageiros e usá-los em técnicas avançadas de phishing. Considere esse cenário: Senhor Silva reserva um voo para Berlin e 10 minutos depois recebe um e-mail da companhia aérea pedindo que confirme as informações de cartão de crédito. O e-mail inclui seu primeiro e último nome, destino e outros detalhes de reserva precisos. Parece real? Sem dúvida! Senhor Silva clica no link no e-mail e fornece suas informações de cartão de crédito – para um site falso.
Jamais publique sua passagem aérea nas redes sociais
Tweet
Além disso, por meio do PNR, aliado com alguns dados pessoais, hackers podem ser capazes de alterar os dados do bilhete. Pode cancelar a viagem e direcionar o reembolso para suas próprias contas. Ou ainda poderiam alterar o nome do portador da passagem, seu sobrenome, número de passaporte, de modo que outra pessoa pudesse pegar o voo (surpreendentemente, alguns serviços permitem isso.) Um criminoso mais cuidadoso e até generoso pode simplesmente alterar os dados de um passageiro frequente e direcionar as milhas do dono do voo para outra conta. Por fim, com o PNR como senha, os sistemas GDS basicamente oferecem a criminosos voos gratuitos, milhas ilimitadas e até dinheiro.
Outro fato extremamente decepcionante: apesar de especialistas e a mídias levantarem essa questão diversas vezes, as empresas de GDS ainda se negam a registrar acessos de PNR. Por isso, ninguém pode rastrear a maioria dos casos de abuso. Poucos incidentes acabam vindo a público, por exemplo, quando criminosos roubaram passagens de viajantes e as vítimas reclamaram. Para as fraudes e roubos de dados mais elaborados, especialistas são capazes de avaliar o escopo do problema.
Nohl e Nikodijevic acreditam que certos clientes não devem esperar por mudanças substanciais tão cedo. O sistema de reservar precisa ser rescrito. Infelizmente, a única coisa que poderia impelir as companhias aéreas a isso seria o aumento das fraudes de PNR.
Por agora, recomendamos duas ações simples: mantenha-se alerta e nunca, jamais publique seu cartão de embarque online. Mesmo passagens antigas fornecem muita informação pessoal.