Gli hacker e i rischi sulle prenotazioni aeree

Interferire nei piani di volo di altri passeggeri è più semplice di quanto si creda: le compagnie di volo ricorrono a sistemi datati e facilmente violabili, denunciano gli esperti di cyber sicurezza.

reu_rtssx5c_web
Identità di viaggiatori violate.|Ralph Orlowski/Reuters

Cancellare o modificare i piani di volo degli 8 milioni di persone che in media volano ogni giorno risulta, per un esperto in truffe informatiche, relativamente semplice: è la denuncia che arriva da due ricercatori esperti di cyber sicurezza intervenuti martedì al Chaos Communication Congress, un festival sul tema dell'hacking in corso ad Amburgo, Germania.

 

La maggior parte delle compagnie aree gestisce le prenotazioni dei clienti con sistemi vecchi almeno 10 anni, non pensati per lo sviluppo del web a cui assistiamo oggi, e con codici non sufficientemente sicuri e personalizzati.

Non preparati. Karsten Nohl e Nemanja Nikodijevic hanno analizzato i principali Global Distribution System (GDS), i sistemi informatici che compagnie aeree e agenzie di viaggio utilizzano per la gestione delle prenotazioni di voli, auto a noleggio e altri servizi turistici.

 

Come prenotare i voli aerei risparmiando e trovando l'occasione migliore al prezzo più basso? Esistono alcuni piccoli trucchetti poco conosciuti. Il nuovo numero di Focus, in edicola fino al 20 gennaio (e in digitale per sempre), ve li racconta passo per passo.

Prevedibili. Quando si acquista un biglietto aereo, si riceve in genere un codice di sei cifre che, in combinazione con un dato personale (per esempio il cognome) consente di accedere al proprio account e modificare la prenotazione fino a poco prima del viaggio. Ma questi codici sono in genere composti solo da lettere maiuscole, limitano gli 1 e gli 0 per non fare confusione con le I e le O, e in due o tre grandi GDS crescono in modo sequenziale.

 

Ciò significa che un hacker esperto potrebbe facilmente risalire al periodo in cui un codice è stato emesso, e aumentare le probabilità di abbinarlo al giusto cognome. I codici di prenotazione compaiono spesso, inoltre, sui bagagli dei passeggeri, un fatto che rende i viaggiatori ancora più facilmente tracciabili.

Prima o poi... Inoltre, la maggior parte dei GDS non prevede un numero massimo di tentativi di inserimento del codice (salvo permettere soltanto un certo numero di richieste al minuto). Un bot, cioè un programma che acceda alla rete attraverso gli stessi canali utilizzati dagli utenti umani, potrebbe quindi facilmente tentare milioni di possibili combinazioni fino ad arrivare al corretto codice e abbinamento.

 

Scenari inquietanti. Con queste tecniche, i due ricercatori sono riusciti a rintracciare il posto a sedere di un politico tedesco e a prenotare, accanto a lui, un biglietto aereo per un reporter loro complice nell'esperimento. Ma il sistema potrebbe prestarsi anche a truffe finanziarie. Per esempio si potrebbe cancellare il volo di un passeggero ignaro, ottenere un coupon da una compagnia e riutilizzarlo per volare gratis.

 

 

29 Dicembre 2016 | Elisabetta Intini