L’inizio dell’anno 2017, porta con sé un problema più volte ribadito dalla Security Research Labs ovvero, le gravi falle presenti nella gestione dei dati personali dei viaggiatori da parte dei sistemi di prenotazione online (anche conosciuti come GDS), utilizzati dagli hotel, dai tour operator, dalle agenzie di viaggio e dalle compagnie aeree di tutto il mondo. Nello specifico, i ricercatori della società americana, hanno analizzato i sistemi Amadeus, Sabre e Teleport, i software gestionali delle prenotazioni che coprono circa il 90% del mercato.
rn
Sistemi informatici con standard di sicurezza vecchi di oltre 30 anni che tra le varie gravissime falle di sistema, posseggono anche livelli di autenticazione molto deboli che consentirebbero quindi in maniera molto semplice a bande di truffatori di mettere in atto in poco tempo furti d’identità e massive appropriazioni di dati sensibili come ad esempio, indirizzo del domicilio, indirizzo email o numero di telefono.
rn
Nello specifico i ricercatori, rilevano che per risalire a tutti i dati di una prenotazione eseguita, è sufficiente conoscere unicamente il codice PNR di sei cifre che naturalmente è presente sia sulla carta d’imbarco, sia sulle etichette del bagaglio, in questo caso in abbinamento addirittura con il cognome del passeggero.
rn
Secondo “difetto” dei sistemi GDS in merito alla generazione dei codici PNR è la creazione nel 70% di casi di codici sequenziali e che addirittura è possibile eseguire sui sistemi, decine di tentativi di inserimento del codice PNR senza che intervenga alcun blocco. Un attacco “brute force” mediante semplici generatori random, consentirebbe quindi, in breve tempo, l’identificazione di un codice PNR e avere così accesso ai dati del passeggero a cui fa riferimento quella prenotazione. Una soluzione assolutamente elementare potrebbe essere quella di inserire una limitazione al numero di tentativi di inserimento possibili da un singolo IP e magari l’aggiunta di un sistema captcha (inserimento di un codice immagine visibile a video).
rn
Quello che a questo punto è naturale chiedersi è come mai, malgrado tutte le procedure fisiche messe in atto per aumentare la sicurezza dei luoghi pubblici e degli aeroporti prevedendo addirittura lo stato d’ansia di un viaggiatore mediante tecnologie sempre più sofisticate, la rete e tutte le informazioni in merito ai viaggi che transitano ogni minuto su di essa siano lasciate così indietro nel tempo, quando piccoli accorgimenti, potrebbero per lo meno rendere più arduo il compito al malintenzionato di turno.
