Foi recentemente descoberta uma falha num dos sistemas utilizados por dezenas de empresas de aviação a nível mundial, que poderá ter afetado milhões de viajantes ao longo dos últimos anos.
O nome Amadeus pode não ser reconhecido por quem utiliza empresas de aviação, mas é um dos principais sistemas de reserva de voos utilizado pelas empresas de aviação. Este é responsável por gerir e fornecer as reservas de voos para cada utilizador, contando, portanto, com todos os dados associados aos mesmos. Este sistema é igualmente utilizado por algumas empresas de aviação nacional, como a TAP Air Portugal, SATA Air Açores e Azores Airlines.
No entanto, foi recentemente descoberta uma falha que poderia permitir o acesso e modificação de conteúdos neste sistema sem que fosse necessária qualquer informação relevante sobre os viajantes. De acordo com a investigação realizada pelo portal SafetyDetective, é possível realizar mudanças internas nos dados do sistema Amadeus e nas reservas de qualquer utilizador tendo apenas o número de referência da reserva.
De acordo com o investigador Noam Rotem, com o número da reserva é possível contornar algumas medidas de segurança que este sistema implementa, e que são bastante rudimentares, para permitir o acesso aos dados. Normalmente, os sistemas necessitam que sejam fornecidos mais dados além do número da reserva – o que inclui o nome do passageiro e o seu apelido. No entanto, através da exploração desta falha, é possível aceder e editar os dados apenas com a referência principal, sem que sejam necessários mais detalhes.
Além de permitir mudar diversas informações relativas a um voo em particular – como o seu lugar – é ainda possível obter diversa informação pessoal associada com os passageiros, onde se inclui o nome completo, email, morada e número de telefone – tudo o que é normalmente fornecido à companhia aérea.
A obtenção do código de reserva é relativamente fácil de ser obtido, estando presente nos bilhetes principais da reserva. Em certas situações também pode ser retirado a partir do código de barras presente no ticket, e que pode ser lido a partir de qualquer aplicação de leitura de códigos de barras/QR.
Além disso, estes tipos de tickets podem ser facilmente obtidos a partir de imagens em redes sociais, como o Facebook e Instagram, onde é muitas vezes visível o código de barras ou código completo. Com isto é possível efetuar uma recolha em massa de várias informações pessoais. O sistema de reserva e o número das mesmas também possui números em parte sequencial, o que facilita uma possível exploração do sistema para recolha de dados.
O próprio sistema não conta com qualquer limite ou proteção para este género de exploração, o que poderia levar a que sistemas automáticos realizem a recolha de dados em massa num formato bastante simples e rápido. Os responsáveis pela descoberta criaram um pequeno script que, através da análise de números e letras, poderiam verificar e recolher dados de diversas reservas realizadas numa determinada empresa:
De acordo com as informações partilhadas no site do sistema Amadeus, este encontra-se em utilização por mais de 200 empresas de aviação a nível mundial. Até ao momento ainda se desconhece a escala desta vulnerabilidade.
Os responsáveis pela plataforma também foram alertados desta falha antes da mesma ter sido tornada pública, estando atualmente a ser processada uma correção preventiva para a mesma – como a aplicação de proteção e limites na recolha de dados.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech