A brechaestrela bet escritoriosegurança no códigoestrela bet escritorioreserva aérea que expõe dados pessoaisestrela bet escritoriopassageiros:estrela bet escritorio
A empresaestrela bet escritorioconsultoria acabaestrela bet escritoriopublicar um comunicado alertando o que considera uma "ameaça à privacidade dos viajantes", que Nohl apresentouestrela bet escritoriodezembro no Chaos Communications Congress, o maior evento anual da Europa sobre hacking.
O que é o PNR?
- PNR (Passenger Name Record) é um códigoestrela bet escritorioreserva que companhias aéreas utilizam para acessar informaçõesestrela bet escritorioviajantes.
- Está impresso no cartãoestrela bet escritorioembarque e na etiquetaestrela bet escritoriobagagem.
- Também é possível acessar às informações do código através da página na internet da companhia aérea ou dos DGS (Global Distribution Systems), os sistemasestrela bet escritorioinformática para reservas do setor turístico.
- Inclui dados pessoais como nome, endereço ou númeroestrela bet escritoriotelefone do viajante, mas também informações sensíveis e detalhes referentes à reserva.
Fonte: Security Research Labs
Nohl pesquisa o assunto há maisestrela bet escritoriouma década. Ele explica que o sistema é usado desde a era pré-digital, nos anos 70 e 80, e que pouco mudou desde então, apesar dos riscosestrela bet escritorioataquesestrela bet escritoriohackers ao gerenciamento das reservas online.
"Apenas com o sobrenome do passageiro, é possível encontrar seu códigoestrela bet escritorioreserva na internet sem grande esforço", disse o Security Research Labs num comunicado.
E o uso desse sistema não se reduz a viagens aéreas. Também é utilizado para reservar quartosestrela bet escritoriohotel, comprar bilhetesestrela bet escritoriotrem ou alugar carros pela internet.
O mais preocupante, destaca Nohl, é que o sistema não prevê o usoestrela bet escritoriouma contrassenha. E fica impresso no cartãoestrela bet escritorioembarque e na etiqueta da bagagem.
"O PNR contém muito mais informação pessoal do que a maioria das pessoas pensa. Pode incluir informações sobre com quem viaja, quantos quartosestrela bet escritoriohotel reservou, que menu pediu no avião ou com que endereço IP (identificação do computador) fez a reserva", explica à BBC Mundo o escritor e jornalista norte-americano Edward Hasbrouck, autor do livro The Practical Nomad (2001) e consultor no Identity Project, iniciativa voltada para questõesestrela bet escritorioliberdades civis que afetam viajantes.
"Os dados mais delicados são os relacionados à própria viagem: onde vai estar e quando. Essa informação pode ser usada para te espiar e assediar, ou para roubarestrela bet escritoriocasa quando você não estiver nela", alerta Hasbrouck, que há 15 anos pesquisa o tema.
"Também há riscos potenciaisestrela bet escritoriorouboestrela bet escritorioidentidade", acrescenta.
Em relação aos riscosestrela bet escritoriocrime financeiro, o especialista afirma que são "menos sérios" e que afetariam principalmente as agênciasestrela bet escritorioviagem e companhias aéreas, e não os consumidores.
O que podem fazer os viajantes?
Hasbrouck aconselha tratar o código e o localizadorestrela bet escritorioreserva como se fosse uma "senha especialmente delicada", pois não pode ser modificada.
Isto é o que aconselha o especialista:
- estrela bet escritorio Rasgar ou queimar seus cartõesestrela bet escritorioembarque, etiquetasestrela bet escritoriobagagem eestrela bet escritorioitinerários e e-mails das empresas aéreas e agênciasestrela bet escritorioviagens que sejam impressos e que contenham o código do localizador.
- estrela bet escritorio Tirar as etiquetas de bagagem (e escondê-las até que possam ser destruídas) assim que recolher a bagagem.
- estrela bet escritorio Nunca compartilhar ou lerestrela bet escritoriovoz alta seu localizador num telefone público. Não o compartilhar com ninguém que não sejaestrela bet escritorioempresa aérea ou agênciaestrela bet escritorioviagens.
Os especialistas destacam a necessidadeestrela bet escritoriomedidas no que veem como "um conflito entre segurança e privacidade que a indústria do turismo deve resolver", nas palavras do próprio Nohl.
A preocupação com a segurança contra ataques e atentados levou a mudanças nos acordosestrela bet escritorioPNR entre a União Europeia e os Estados Unidos, que permitem a transferênciaestrela bet escritorioinformação a autoridades como parte da "luta contra o terror".
Um dos mais polêmicos foi firmado depois dos ataques do 11estrela bet escritoriosetembroestrela bet escritorio2011estrela bet escritorioNova York e permitiu a transferênciaestrela bet escritoriodadosestrela bet escritoriolongo prazoestrela bet escritoriopassageiros europeus a autoridades norte-americanas.
E há outros atores envolvidos nessa trocaestrela bet escritorioinformações, como o Sistema Globalestrela bet escritorioDistribuição (GDS na siglaestrela bet escritorioinglês), que gerencia as reservasestrela bet escritorio90% das passagens aéreasestrela bet escritoriotodo o mundo, englobando três aliançasestrela bet escritoriocompanhias áreas: uma com base na Espanha, a Amadeus (Air France, Lufthansa, Iberia e Scandinavian Airlines), e duas nos Estados Unidos, a Sabre (American Airlines e IBM) e a Travelport (da união entre Galielo e Worldspan,estrela bet escritorio2007).
As possíveis soluções
Para Nohl, uma solução seria proporcionar uma senha aos viajante na horaestrela bet escritoriofazerestrela bet escritorioreserva. Mas alerta que isto levará tempo, pois requer a colaboração das instituições.
De acordo com o criptógrafo, a forma como são escolhidos os códigos PNR nos deixa menos seguros do que qualquer senhaestrela bet escritoriocinco dígitos.
Além disso, tanto o GSD como as páginas na internet das empresas aéreas permitem fazer milharesestrela bet escritorioreservas atravésestrela bet escritorioum único endereço IP, o que põe o compradorestrela bet escritoriorisco.
Hasbrouck diz que seus usuários "devem exigir urgentemente mudanças técnicas às companhias e pedir que sejam reforçadas as leisestrela bet escritorioproteçãoestrela bet escritoriodados".
Nohl contou à BBC Mundo que "tem tido conversas" com duas das empresas GDS, mas não deu detalhes do que foi discutido.
A reação das companhias é a seguinte:
"Estamos avaliando os resultados das pesquisas sobre a segurança da indústriaestrela bet escritorioviagens e temos tido melhoras. Damos prioridade à segurança dos clientes e dos dados e revisamos continuamente nossos sistemas e processos", respondeu à BBC Mundo um porta-voz da Amadeus.
"Vamos considerar estas descobertas e trabalharemos juntos com nossos colaboradores para tratar dessas questões e buscar soluções a potenciais problemas", acrescentou.
O Travelport destacou a "cibersegurança e a privacidade do cliente como prioridades críticas" e afirmou que está fazendo "contínuos investimentosestrela bet escritorioseus sistemas e se comprometendo com vários atores da indústria para implementar qualquer mudança recomendadaestrela bet escritorioreservas pela internet".
Timothy Enstice, directorestrela bet escritoriocomunicação da Sabre, disse que "o acesso não autorizado a informaçõesestrela bet escritorioviajantes, através do GDS, é bastante improvável porque temos várias camadasestrela bet escritoriosegurança para restringi-lo", e destacou que "são outros atores do setorestrela bet escritorioviagens que devem adotar medidas similaresestrela bet escritoriosegurança".
O que podem fazer com seu PNR pessoas mal-intencionadas?
Existem quatro tiposestrela bet escritorioabusos potenciais:
- estrela bet escritorio Invasãoestrela bet escritorioprivacidade: o código contém informaçãoestrela bet escritoriocontato, datasestrela bet escritorioviagens e preferências e, muitas vezes, os dadosestrela bet escritorioseu passaporte.
- estrela bet escritorio Rouboestrela bet escritoriovoos: a maioria das empresas áereas permite trocar seu voo ou até cancelá-lo com seu PNR, tornando possível que um fraudador voeestrela bet escritoriograça.
- estrela bet escritorio Desvioestrela bet escritoriomilhas: ao mudar a informação sobre o viajante na reserva, podem roubar suas milhas aéreas sem comprar outro voo.
- estrela bet escritorio Pishing/vishing: os hackers podem usar práticas fraudulentasestrela bet escritorioengenharia social (obter informação confidencial) ou acessar seus dadosestrela bet escritoriopagamento ou credenciais.
Fonte: Security Research Labs