Modificare i biglietti aerei di qualcun altro è davvero facile

Modificare o cancellare del tutto la prenotazione aerea di qualcun altro è più facile di quanto crediamo, perché le compagnie aeree usano sistemi vecchi e poco sicuri per elaborare i piani di viaggio dei propri clienti, come ha raccontato un gruppo di ricercatori al festival di hacking Chaos Communication Congress. La problematica sollevata riguarda soprattutto la mancanza di qualsiasi forma di autenticazione seria nel momento in cui un cliente richiede le informazioni del proprio volo.

La ricerca sottolinea il fatto che sia ancora in utilizzo un sistema vecchio di decenni, nonostante la sua sensibilità ad attacchi abbastanza semplici e il fatto che manchi qualsiasi intenzione di risoluzione del problema.

"Ogni volta che fate un viaggio, passate per uno o più di questi sistemi," ha detto per telefono a Motherboard il ricercatore in sicurezza Karsten Nohl, poco prima della conferenza tenuta insieme il ricercatore Nemanja Nikodijevic.

Nello specifico, il duo ha approfondito i cosiddetti Global Distribution Systems (GDS). I GDS sono essenzialmente la back-end usata dalle agenzie di viaggi e dalle compagnie di volo per gestire l'assegnazione dei biglietti.

Quando qualcuno paga un volo, la compagnia aerea o l'agenzia di viaggi in genere gli fornisce un codice a sei cifre. Il fatto che questo codice e il cognome del passeggero rimbalzino tra siti diversi, come quello della compagnia, permette al passeggero di vedere le proprie informazioni di volo, e di modificare la propria prenotazione come preferisce.

Ma uno dei problemi è che questi codici sono incredibilmente facili da estrapolare per un computer il che significa che un bot potrebbe semplicemente valutare un po' di opzioni fino ad arrivare a un codice legittimo che corrisponda a un determinato cognome. Molti GDS non usano alcun tipo di sistema di rate limiting—per limitare il numero di richieste possibili al minuto o secondo—e i ricercatori sono riusciti a elaborare comodamente milioni di possibili combinazioni automaticamente.

I codici non contengono mai 1 e 0, per evitare la confusione con le lettere I e O, dice Nohl—usano solo lettere maiuscole e mai caratteri speciali. Inoltre, in due o tre dei GDS più grossi, i numeri aumentano in sequenza, ha spiegato Nohl. Il che significa che un hacker può predire quando è più probabile che esca un particolare gruppo di numeri in un certo momento del giorno o della settimana, il che rende anche più probabile per loro trovare un codice a sei cifre che corrisponda a un certo cognome, e ottenere così l'accesso alle informazioni di volo.

Questi stessi codici si possono poi leggere dalle targhette attaccate ai bagagli dei passeggeri o sulla carta d'imbarco, come hanno sottolineato altri in precedenza.

Armato di queste tecniche, un hacker potrebbe riuscire a seguire qualcuno, scoprire dove è diretto il suo volo e da dove parte. Lavorando con la stazione televisiva tedesca ARD, i ricercatori sono riusciti a cambiare la prenotazione aerea di un giornalista, mettendolo sullo stesso volo e sul sedile accanto a un politico tedesco.

"Abbiamo tentato circa due milioni di combinazioni con un certo cognome, ed è bastato per trovare questo senatore tedesco," ha detto Nohl a Motherboard.

Non manca inoltre il potenziale per commettere frodi finanziarie. Un hacker potrebbe aggiungere aggiungere viaggi costosi all'account di una persona che viaggia molto, o cancellare una prenotazione, ricevere un coupon dalla compagnia di volo e usarlo per prenotare un altro volo, ha detto Nohl.

Nohl ha spiegato a Motherboard che compagnie specifiche hanno detto di voler impiegare misure come il rate limiting per contrastare la facilità con cui è possibile scoprire il codice a sei cifre di un passeggero. Ma restano comunque un sacco di sistemi interconnessi che non sono mai stati progettati pensando all'ingerenza di internet nella nostra vita oggi, e le minacce che può nascondere.

"Fatta eccezione per le segnalazioni che stiamo facendo in questo momento, nessuno sembra ancora avere un'idea chiara di quale sia il percorso da intraprendere per istituire un sistema migliore," ha concluso Nohl.