A brecharoleta mágicasegurança no códigoroleta mágicareserva aérea que expõe dados pessoaisroleta mágicapassageiros:roleta mágica
- Lucía Blasco
- Da BBC Mundo
Crédito, Thinkstock
Reservar um voo pela internet é simples, mas não necessariamente seguroroleta mágicarelação à privacidade.
roleta mágica Comprar uma passagem área pela internet está cada dia mais fácil. É preciso apenas selecionar o trajeto e a data, preencher seus dados, efetuar o pagamento e clicar na opçãoroleta mágica"reservar voo".
A partir deste momento, tudo fica gravado num código que é enviado por e-mail e que garante aroleta mágicareserva. Fácil assim.
Este código alfanuméricoroleta mágicacinco ou seis dígitos é fundamental. Os especialistas o chamamroleta mágicaPNR - o acrônimoroleta mágicainglêsroleta mágicaPassenger Name Record (registroroleta mágicanomeroleta mágicapassageiro, na traduçãoroleta mágicaportuguês) -, mas ele armazena muito mais do que apenas os dados do voo.
"Qualquer pessoa que tirar uma foto do seu código PNR, ou o encontrar na internet, pode saber quem você é,roleta mágicaonde viaja e com quem, seu númeroroleta mágicacelular, endereço, e-mail, itinerárioroleta mágicaviagem, assento e até os númerosroleta mágicacartõesroleta mágicacrédito", conta à BBC Mundo Karsten Nohl, especialistaroleta mágicaengenhariaroleta mágicainformática e criptografia, que trabalha na companhiaroleta mágicasegurança alemã Security Research Labs.
A empresaroleta mágicaconsultoria acabaroleta mágicapublicar um comunicado alertando o que considera uma "ameaça à privacidade dos viajantes", que Nohl apresentouroleta mágicadezembro no Chaos Communications Congress, o maior evento anual da Europa sobre hacking.
Crédito, Security Research Labs
O PNR é um códigoroleta mágica5 ou 6 dígitos impressos no cartãoroleta mágicaembarque e na etiquetaroleta mágicacobrança da bagagem.
O que é o PNR?
- PNR (Passenger Name Record) é um códigoroleta mágicareserva que companhias aéreas utilizam para acessar informaçõesroleta mágicaviajantes.
- Está impresso no cartãoroleta mágicaembarque e na etiquetaroleta mágicabagagem.
- Também é possível acessar às informações do código através da página na internet da companhia aérea ou dos DGS (Global Distribution Systems), os sistemasroleta mágicainformática para reservas do setor turístico.
- Inclui dados pessoais como nome, endereço ou númeroroleta mágicatelefone do viajante, mas também informações sensíveis e detalhes referentes à reserva.
Fonte: Security Research Labs
Nohl pesquisa o assunto há maisroleta mágicauma década. Ele explica que o sistema é usado desde a era pré-digital, nos anos 70 e 80, e que pouco mudou desde então, apesar dos riscosroleta mágicaataquesroleta mágicahackers ao gerenciamento das reservas online.
"Apenas com o sobrenome do passageiro, é possível encontrar seu códigoroleta mágicareserva na internet sem grande esforço", disse o Security Research Labs num comunicado.
E o uso desse sistema não se reduz a viagens aéreas. Também é utilizado para reservar quartosroleta mágicahotel, comprar bilhetesroleta mágicatrem ou alugar carros pela internet.
O mais preocupante, destaca Nohl, é que o sistema não prevê o usoroleta mágicauma contrassenha. E fica impresso no cartãoroleta mágicaembarque e na etiqueta da bagagem.
Crédito, Win McNamee/Getty
Os hackers podem usar este sistema para manipular informações sobre o viajante ou roubarroleta mágicaidentidade.
"O PNR contém muito mais informação pessoal do que a maioria das pessoas pensa. Pode incluir informações sobre com quem viaja, quantos quartosroleta mágicahotel reservou, que menu pediu no avião ou com que endereço IP (identificação do computador) fez a reserva", explica à BBC Mundo o escritor e jornalista norte-americano Edward Hasbrouck, autor do livro The Practical Nomad (2001) e consultor no Identity Project, iniciativa voltada para questõesroleta mágicaliberdades civis que afetam viajantes.
"Os dados mais delicados são os relacionados à própria viagem: onde vai estar e quando. Essa informação pode ser usada para te espiar e assediar, ou para roubarroleta mágicacasa quando você não estiver nela", alerta Hasbrouck, que há 15 anos pesquisa o tema.
"Também há riscos potenciaisroleta mágicarouboroleta mágicaidentidade", acrescenta.
Em relação aos riscosroleta mágicacrime financeiro, o especialista afirma que são "menos sérios" e que afetariam principalmente as agênciasroleta mágicaviagem e companhias aéreas, e não os consumidores.
Crédito, Security Research Labs
Não é recomendado publicar o código nas redes sociais, como no Instagram.
O que podem fazer os viajantes?
Hasbrouck aconselha tratar o código e o localizadorroleta mágicareserva como se fosse uma "senha especialmente delicada", pois não pode ser modificada.
Isto é o que aconselha o especialista:
- roleta mágica Rasgar ou queimar seus cartõesroleta mágicaembarque, etiquetasroleta mágicabagagem eroleta mágicaitinerários e e-mails das empresas aéreas e agênciasroleta mágicaviagens que sejam impressos e que contenham o código do localizador.
- roleta mágica Tirar as etiquetas de bagagem (e escondê-las até que possam ser destruídas) assim que recolher a bagagem.
- roleta mágica Nunca compartilhar ou lerroleta mágicavoz alta seu localizador num telefone público. Não o compartilhar com ninguém que não sejaroleta mágicaempresa aérea ou agênciaroleta mágicaviagens.
Os especialistas destacam a necessidaderoleta mágicamedidas no que veem como "um conflito entre segurança e privacidade que a indústria do turismo deve resolver", nas palavras do próprio Nohl.
A preocupação com a segurança contra ataques e atentados levou a mudanças nos acordosroleta mágicaPNR entre a União Europeia e os Estados Unidos, que permitem a transferênciaroleta mágicainformação a autoridades como parte da "luta contra o terror".
Um dos mais polêmicos foi firmado depois dos ataques do 11roleta mágicasetembroroleta mágica2011roleta mágicaNova York e permitiu a transferênciaroleta mágicadadosroleta mágicalongo prazoroleta mágicapassageiros europeus a autoridades norte-americanas.
Crédito, Getty Images
Um acordoroleta mágica2012, entre EUA e Europa, suscitou grande polêmica e protestos na sede do Parlamento Europeuroleta mágicaEstrasburgo, na França.
E há outros atores envolvidos nessa trocaroleta mágicainformações, como o Sistema Globalroleta mágicaDistribuição (GDS na siglaroleta mágicainglês), que gerencia as reservasroleta mágica90% das passagens aéreasroleta mágicatodo o mundo, englobando três aliançasroleta mágicacompanhias áreas: uma com base na Espanha, a Amadeus (Air France, Lufthansa, Iberia e Scandinavian Airlines), e duas nos Estados Unidos, a Sabre (American Airlines e IBM) e a Travelport (da união entre Galielo e Worldspan,roleta mágica2007).
As possíveis soluções
Para Nohl, uma solução seria proporcionar uma senha aos viajante na horaroleta mágicafazerroleta mágicareserva. Mas alerta que isto levará tempo, pois requer a colaboração das instituições.
De acordo com o criptógrafo, a forma como são escolhidos os códigos PNR nos deixa menos seguros do que qualquer senharoleta mágicacinco dígitos.
Além disso, tanto o GSD como as páginas na internet das empresas aéreas permitem fazer milharesroleta mágicareservas atravésroleta mágicaum único endereço IP, o que põe o compradorroleta mágicarisco.
Hasbrouck diz que seus usuários "devem exigir urgentemente mudanças técnicas às companhias e pedir que sejam reforçadas as leisroleta mágicaproteçãoroleta mágicadados".
Crédito, Thinkstock
Especialistas recomendam que tenha cuidado com seu códigoroleta mágicaembarque
Nohl contou à BBC Mundo que "tem tido conversas" com duas das empresas GDS, mas não deu detalhes do que foi discutido.
A reação das companhias é a seguinte:
"Estamos avaliando os resultados das pesquisas sobre a segurança da indústriaroleta mágicaviagens e temos tido melhoras. Damos prioridade à segurança dos clientes e dos dados e revisamos continuamente nossos sistemas e processos", respondeu à BBC Mundo um porta-voz da Amadeus.
"Vamos considerar estas descobertas e trabalharemos juntos com nossos colaboradores para tratar dessas questões e buscar soluções a potenciais problemas", acrescentou.
O Travelport destacou a "cibersegurança e a privacidade do cliente como prioridades críticas" e afirmou que está fazendo "contínuos investimentosroleta mágicaseus sistemas e se comprometendo com vários atores da indústria para implementar qualquer mudança recomendadaroleta mágicareservas pela internet".
Timothy Enstice, directorroleta mágicacomunicação da Sabre, disse que "o acesso não autorizado a informaçõesroleta mágicaviajantes, através do GDS, é bastante improvável porque temos várias camadasroleta mágicasegurança para restringi-lo", e destacou que "são outros atores do setorroleta mágicaviagens que devem adotar medidas similaresroleta mágicasegurança".
Crédito, kasto80
O que podem fazer com seu PNR pessoas mal-intencionadas?
Existem quatro tiposroleta mágicaabusos potenciais:
- roleta mágica Invasãoroleta mágicaprivacidade: o código contém informaçãoroleta mágicacontato, datasroleta mágicaviagens e preferências e, muitas vezes, os dadosroleta mágicaseu passaporte.
- roleta mágica Rouboroleta mágicavoos: a maioria das empresas áereas permite trocar seu voo ou até cancelá-lo com seu PNR, tornando possível que um fraudador voeroleta mágicagraça.
- roleta mágica Desvioroleta mágicamilhas: ao mudar a informação sobre o viajante na reserva, podem roubar suas milhas aéreas sem comprar outro voo.
- roleta mágica Pishing/vishing: os hackers podem usar práticas fraudulentasroleta mágicaengenharia social (obter informação confidencial) ou acessar seus dadosroleta mágicapagamento ou credenciais.
Fonte: Security Research Labs
