Le prenotazioni aeree trasmesse in chiaro facilitano il furto di dati

I ricercatori di Wandera hanno scoperto una vulnerabilità sui sistemi di e-ticketing usati da diverse compagnie aeree.

Al momento della prenotazione i sistemi inviano ai clienti un link per il check-in che contiene i dati in chiaro. Facendo clic sul link i clienti possono accedere (a volte automaticamente) e modificare la loro prenotazione.

Inviando però i dati in chiaro, un attaccante presente all’interno della stessa rete del cliente può facilmente intercettare le credenziali e altre informazioni personali contenute nel link.

Accedendo attraverso di esse al sito della compagnia aerea, l’attaccante sarebbe in grado di ottenere tutte le informazioni personali mostrate dal sito, che potrebbero includere:

  • Indirizzo e-mail
  • Nomi e cognomi dei passeggeri
  • Numero del documento
  • Paese che ha emesso il documento
  • Data di scadenza del documento
  • Riferimenti della prenotazione
  • Numero del volo
  • Orario del volo
  • Posti assegnati
  • Eventuale presenza di bagagli
  • Carta d’imbarco
  • Altre informazioni inerenti alla prenotazione

Vi sono tuttavia differenze nel numero di PII (personally identifiable information) mostrati a seconda della compagnia aerea presa in esame. Alcune compagnie mostrano molte informazioni riservate, altre ne rivelano solo un numero limitato.

Le aziende testate dai ricercatori di Wandera includono:

  • Southwest
  • Air France
  • KLM
  • Vueling
  • Jetstar
  • Thomas Cook
  • Transavia
  • Air Europa

Maggiori informazioni: Are airlines putting your data at risk?

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society, membro dell'Associazione Italiana esperti in Infrastrutture Critiche (AIIC) e della Association for the Advancement of Artificial Intelligence (AAAI). Dal 2006 lavoro per ESET, dove ricopro il ruolo di Operations Manager. Il blog è personale.