Scopri chi vola con te

Francia, Olanda, Spagna, ma anche Stati Uniti e Australia. Sono questi i Paesi di provenienza di alcune delle compagnie aeree più vulnerabili e meno rispettose dei dettami del Gdpr. 

È ciò che emerge dalla ricerca di una società di sicurezza IT la quale, testandone i sistemi di biglietteria elettronica (e-ticketing), e in particolare il meccanismo di conferma via email che le company in questione inviano al momento in cui viene effettuata una prenotazione, hanno scoperto che questi vettori non utilizzano connessioni crittografate, rendendosi di fatto esposti a potenziali attacchi hacker.

Il problema è stato riscontrato sui link contenuti nei messaggi di posta elettronica che, semplicemente cliccandoci sopra, permettono di accedere direttamente all’area clienti dei rispettivi siti, senza alcuna procedura di autenticazione, consentendo di accedere alle informazioni, eventualmente modificarle e ovviamente stampare le carte d’imbarco.

Più in particolare, si può accedere a numerosi dati personali quali il nome e il cognome del passeggero, la data di nascita, il numero di telefono e l’indirizzo di posta elettronica; a seguire, sul documento (che sia un passaporto o una carta d’identità) il numero, la data di scadenza e l’ente che l’ha rilasciato. Poi sono visibili i dati del biglietto aereo, quali il numero del volo, la data e l’orario, il posto a bordo, la presenza di eventuali bagagli in stiva e l’eventuale appartenenza a programmi fedeltà. Non meno importanti sono le informazioni che concernono il metodo d’acquisto del volo, spesso comprato online, come il numero a sedici cifre della carta di credito o debito, il nome dell’intestatario, il codice di sicurezza e la data di scadenza. 

Già prima facie, dall’elencazione delle informazioni vulnerabili, il quadro è pessimo. Appare chiaro come tutto questo possa implicare dal semplice e goliardico scambio di posto, a scenari ben più pericolosi. Non è tanto l’ipotesi, seppur grave, di aggiungere o rimuovere i bagagli extra a spaventare, quanto la possibilità di poter utilizzare i dati dei documenti e delle carte di credito, consentendo ad anonimi soggetti di potersi registrare su altri siti, compiere transazioni o richiedere al gestore telefonico di duplicare le sim semplicemente presentandosi in un negozio, muniti del numero dell’utente e dei dati del titolare, adducendo la scusa che il telefono sia stato rubato.

Bisogna agire e in fretta, per non farsi cogliere impreparati.

Anzitutto per quel che riguarda le compagnie aeree occorrerebbe che i vettori adottino policy aziendali più rigorose, implementando sistemi di crittografia delle connessioni, specialmente quando vi sono in gioco i dati sensibili dei clienti. Non sarebbe da biasimare l’utilizzo di codici di autenticazione, evitando l’accesso automatico dal link dell’email, ricorrendo magari a token temporanei, a costo di causare all’utente finale un maggior impiego di tempo. Quanto ai clienti, dovrebbero utilizzare dei device protetti da antivirus e, soprattutto, sarebbe raccomandabile assicurare il viaggio così da non dover rischiare amare sorprese e veder sfumare la vacanza dei sogni.