Ricercatori per la sicurezza hanno individuato una falla nel sistema di check-in online di alcune compagnie aeree. Gli hacker potrebbero accedere ai dati dei passeggeri, cambiare il nome della prenotazione o fare furti di identità. Il rischio è remoto, ma è meglio risolvere il problema.
Molte compagnie aeree permettono di prenotare i voli online ed emettono un biglietto elettronico (eTicket, electronic ticket) da mostrare al check-in in aeroporto. È una comodità, ma ricercatori per la sicurezza si sono accorti che in alcuni casi i dati dei viaggiatori non sono adeguatamente protetti. In pratica, intercettando dei link presenti all’interno dei biglietti elettronici stessi, sarebbe possibile visualizzare dati personali dei passeggeri, e in alcuni casi persino modificare la prenotazione a proprio nome e stampare la carta d’imbarco.
Il rischio è valutato come remoto, ma non nullo. A fare notizia è l’elenco delle compagnie aeree per le quali è stato rilevato il problema. Ci sono nomi importanti come la compagnia di bandiera francese Air France, quella olandese KLM, la spagnola Air Europa, le low-cost Transavia (Olanda), Southwest (Stati Uniti), Vueling (Spagna), Jetsar (Australia). L’elenco dei dati dei passeggeri che potrebbero essere esposti comprende invece gli indirizzi mail, nome, cognome, numero di passaporto con data di scadenza e paese di rilascio, numero di volo, orario, posto assegnato, bagagli ammessi e il Full Boarding Pass.
L’attacco si potrebbe verificare nel momento in cui il legittimo passeggero clicca il link per fare il check-in online. Un hacker potrebbe intercettare il traffico dati e ottenere l’accesso all’area riservata in cui sono visibili, in chiaro, i dati riportati sopra. Perché accade questo? Secondo gli esperti della società per la sicurezza Wandera, perché le compagnie aeree indicate non userebbero connessioni protette da crittografia.
Come detto, il rischio è remoto, e va aggiunto che al momento non risultano denunce per violazioni ad esso legate. L’avviso di Wandera è quindi da vedersi come un appello alle compagnie aeree affinché alzino il livello di sicurezza prima del verificarsi di eventuali problemi. Questo caso dà anche la misura di quanto sia importante il lavoro dei ricercatori, che scovando falle nella sicurezza e notificandole tempestivamente alle aziende (come in questo caso) riescono in molti casi a risparmiare molti problemi agli utenti.