Falha poderá ter exposto milhões de dados de clientes de companhias aéreas, incluindo a TAP

O site Amadeus coopera com 44% de todas as companhias aéreas de todo o mundo, incluindo a TAP. A falha permitia a qualquer pessoa ter acesso a dados pessoais e à reserva de qualquer passageiro.

Numa altura de vários os escândalos de acesso indevido a dados, um hacker descobriu recentemente mais um. Desta vez a afetar quase metade de todas as companhias aéreas do mundo, ou seja, dezenas de milhões de passageiros. O bug está presente no site de compra de voos Amadeus que dá a qualquer pessoa a possibilidade de aceder aos dados dos clientes e dos respetivos voos.

A vulnerabilidade foi descoberta pelo hacker Noam Rotem, em colaboração com o centro de pesquisa Safety Detective, e publicada no respetivo blog. No momento em que tentava reservar um voo pela companhia israelita ELAL, encontrou uma falha de segurança que permite a qualquer pessoa aceder e alterar informações pessoais sobre reservas de viagens. Esta falha abrange 44% de todas as companhias aéreas internacionais, nas quais está incluída a TAP, a Air Europa ou a Vueling.

De acordo com a ELAL, este bug deriva do sistema de reservas online do site Amadeus, que controla uma grande parte das companhias aéreas. Na hora de reservar um voo com a ELAL, os passageiros recebem este link para verificar o PNR (o número de referência da reserva). Alterando o “RULE_SOURCE_1_ID”, as pessoas podem visualizar qualquer PNR e ter acesso ao nome do cliente e aos detalhes do voo associado.

Com este acesso — feito através da alteração do PNR e com o nome do cliente à nossa disposição –, qualquer pessoa pode fazer login no portal de cliente da ELAL e fazer alterações, nomeadamente transferir milhas para uma conta pessoal, comprar assentos e refeições e até atualizar o email e o número de telemóvel do passageiro, que podem ser usados para cancelar ou alterar uma reserva.

Embora seja preciso conhecer o código PNR para violar os dados, a ELAL envia esse código através de um email não criptografado e muitas pessoas chegam mesmo a partilhá-lo nas redes sociais. “Mas isso é apenas a ponta do iceberg”, explica o blog.

O Safety Detective alertou de imediato a ELAL para este problema, aconselhando alguns passos informáticos para evitar acessos indesejados. Por sua vez, o site Amadeus emitiu um comunicado após ser igualmente avisado: “As nossas equipas técnicas já tomaram medidas imediatas e podemos confirmar que o problema já está resolvido. (…) Lamentamos qualquer inconveniente que esta situação possa ter causado”.

Assine o ECO Premium

No momento em que a informação é mais importante do que nunca, apoie o jornalismo independente e rigoroso.

De que forma? Assine o ECO Premium e tenha acesso a notícias exclusivas, à opinião que conta, às reportagens e especiais que mostram o outro lado da história e às newsletters ECO Insider e Novo Normal.

Esta assinatura é uma forma de apoiar o ECO e os seus jornalistas. A nossa contrapartida é o jornalismo independente, rigoroso e credível.

Comentários ({{ total }})

Falha poderá ter exposto milhões de dados de clientes de companhias aéreas, incluindo a TAP

Respostas a {{ screenParentAuthor }} ({{ totalReplies }})

{{ noCommentsLabel }}

Ainda ninguém comentou este artigo.

Promova a discussão dando a sua opinião