0

Postar fotos de passagens aéreas no Instagram pode ser perigoso; entenda

Prática comum, fotos de passagem no Instagram podem comprometer dados (Foto: Gabrielle Lancellotti/TechTudo).

Prática corriqueira e, de certa forma, inocente, postar fotos de passagens aéreas para contar aos amigos que está a caminho de outro país no Instagram, Facebook, Snapchat ou Twitter pode colocar em risco seus dados pessoais e dar acesso a suas informações e detalhes da viagem a criminosos — mesmo sem saber.

A partir de uma busca por hashtag na rede social de fotos e vídeos é possível encontrar diversas fotos com passagens aéreas, registradas em aeroportos do mundo inteiro, inclusive no Brasil. O que pouca gente sabe é que ali há dados como senhas e códigos de barra que permitem usar brechas para cometer abusos.

Como acontece?

O “hack”, na verdade, é algo bem simples e pode ser feito por qualquer pessoa, mesmo alguém que não seja um exímio hacker ou tenha habilidades de programação. Tudo ocorre por conta de dados pessoais e que, em teoria, deveriam ser secretos, impressos nas passagens e etiquetas de bagagem.

Tudo ocorre por meio de dados pessoais obtidos em passagens (Foto: Reprodução/Felipe Vinha).

Detalhado pela dupla de especialistas em segurança Karsten Nohl e Nemanja Nikodijevic, da fabricante de antivírus e produtos de segurança Kaspersky, durante o evento Chaos Communication Congress (33С3), na Alemanha, o processo envolve um sistema de informação e dados chamado de Global Distribution Systems (GDS), ou “Sistema de Distribuição Global”, em tradução direta para português.

Trata-se de um sistema universal utilizado por diversas empresas operadoras de viagem, companhias aéreas e agências de turismo para verificar voos, trajetos, ter certeza de que não há assentos vendidos em duplicidade por engano, entre outros pormenores. Há “apenas” cerca de 20 GDS no mundo todo, o que facilita o processo para os malfeitores — que conseguem dominar os 20 tipos de sistema.

Dados dos usuários podem ser acessados pelos GDS (Foto: Reprodução/Felipe Vinha).

Os GDS são acessados por uma série de pessoas em empresas aéreas ou em negócios relacionados. Operadores de voo, tripulação, vendedores online e até mesmo quem trabalha no despache de bagagens pode acessar o sistema. Além disso, ele contém todo o tipo de informação pessoal dos passageiros, como nome, data de nascimento, passaporte, destino e origem, e cartão de crédito.

A partir daí temos o “pulo do gato”: cada passagem e bilhete impresso nas bagagens contém números de seis dígitos, que são usados como senha para acessar os dados do passageiro no GDS – o nome do passageiro costuma ser o login. Chamados de “Passenger Name Record”, ou PNR, “Dados dos nomes dos passageiros”, esses números deveriam ser secretos, mas não são.

Buscando fotos no Instagram a partir de hashtags, como #airplanetickets, #passagemaerea, #partiuvajar, #partiueuropa, #partiuamerica ou outras similares, é possível chegar a diversas fotos com passagens, incluindo algumas com dados bem nítidos, como códigos de barras e nomes completos. 

Pesquisar pela localidade, como por exemplo fotos publicadas apenas dentro de um aeroporto, oferecem o mesmo tipo de resultado, com bilhetes aéreos e fotos de bagagem com etiqueta. Isso permite que qualquer pessoa com acesso ao Instagram tenha acesso aos dados de forma facilitada.

Exemplo de busca de passagens feita por especialistas (Foto: Reprodução/Felipe Vinha).

Cuidado com os golpes

A dupla de pesquisadores alerta ainda que isso possibilita uma série de golpes, e não apenas o comprometimento de sua viagem em caso de dados comprometidos. Um criminoso pode, por exemplo, saber que você comprou uma passagem, ter acesso aos dados e enviar um e-mail, fingindo se passar pela companhia aérea, pedindo para confirmar seus dados do cartão de crédito e obter mais dados.

Exemplo mostra leitura do código de barras do usuário (Foto: Reprodução/Felipe Vinha).

Roubo de milhas

Em outra possibilidade, o ‘hacker’ pode coletar todos os dados pessoais do passageiro e registrar milhas em seu nome, garantindo assim futuras passagens aéreas de graça, e roubando as milhas da vítima que publicou a foto no Instagram. Criminosos podem obter acesso facilitado aos GDS do mundo todo e, assim, coletar diversos dados para conferir com passagens encontradas em fotos públicas.

Some isso ao fato de que sites de empresas aéreas não costumam ter segurança acirrada em relação a quantidade de logins que o usuário pode tentar fazer mesmo se errar a senha várias vezes, como costuma ocorrer em sites de bancos. Isso facilita ainda mais o possível acesso – o hacker pode tentar inúmeras vezes, até obter, por conta de um nome considerado mais comum, como “João” ou “Pedro”.

PNR dos usuários podem ser descobertos com facilidade (Foto: Reprodução/Felipe Vinha).

O ideal é que as companhias protegessem melhor o dado dos passageiros, escondendo melhor a informação do PNR que fica exposta na passagem ou utilizando um novo sistema de login e senha, modificando um pouco o sistema dos GDS. Contudo, isso não deve ocorrer tão cedo, então é bom estar preparado para qualquer caso — começando por esconder os dados nas fotos que você publica.

É imperativo que o usuário proteja seus dados, seja deixando de publicar fotos deste tipo ou fazendo isso de forma mais discreta, como por exemplo em contas privadas do Instagram. Contudo, é possível publicar sua foto sem mostrar qualquer dado pessoal ou código de barras, expondo apenas uma ponta da passagem, com a marca da companhia aérea ou similar ou tampando os dados com os dedos.

Com o golpe, hackers podem acessar todos os detalhes de seu voo (Foto: Reprodução/Felipe Vinha).

Vale lembrar que todo e qualquer dado exposto na passagem pode ser sensível aos olhos dos criminosos, já que até mesmo o código de barras esconde as informações dos usuários – que pode ser lido por qualquer software simples. Enquanto a segurança não muda, a ideia é tentar se precaver.

Fonte: Kaspersky/Techtudo

Nenhum comentário

Agradecemos sua participação!

Aerojoaopessoa. Copyright © 2012 - 2016. Todos os direitos reservados. Tecnologia do Blogger.