Vulnerabilidad en el aeropuerto: sacando listas de pasajeros

Últimamente se habla bastante de la seguridad en aeropuertos y aviones. Los medios de comunicación prestan atención a las detenciones de hackers que han confesado vulnerar la Wifi de servicio de un avión.

La tecnología avanza a pasos agigantados y más en los aeropuertos, pero lo hace más rápido que su propia seguridad, pese a todas las medidas de control que nos ponen a los viajeros. Es algo muy sensible, y toda una industria lucha por parecer más segura de lo que realmente es.

Cuando vas a un aeropuerto, difícilmente puede escapar de los kioskos o terminales automáticos que ayudan a realizar tu check-in. Equipos destinados a agilizar las largas filas de pasajeros, y que además sirven para sustituir al personal de tierra en los aeropuertos de medio mundo.

check-in1

Volvía de un viaje de trabajo y me ví obligado a escanear mi pasaporte, ya que estos equipos incorporan un escáner que mediante OCR transcribe los datos del viajero y los vuelca en las bases de datos de las compañías.

check-in3

Hasta aquí todo bien. El problema fue cuando el lector de la máquina que estaba empleando no funcionaba correctamente, y mis datos no eran incorporados de forma automática. Me solicitaba que acudiese al mostrador debido a un error en la lectura de datos de mi pasaporte.

En vez de ir al mostrador, traté de alguna forma de incluir mis datos en los campos obligatorios, pero iluso de mi, no se mostraba ningún escritorio por pantalla. Era OCR o nada.

Sin embargo, vi que al pulsar sobre cada uno de los campos, veía información de los viajeros. ¿WTF?

Nombre, apellidos, nacionalidad, género, fecha de nacimientos, DNI/Pasaporte y fecha de expiración. Tenía la posibilidad de visualizar miles de datos de viajeros que habían escaneado sus pasaportes, y además por orden. Los últimos en registrar sus datos, aparecían los primeros (Last In Fisrt Out).

check-in4

Es curioso como las pruebas de seguridad en las aplicaciones, se centran casi exclusivamente sobre el campo “password” para evitar el autofill, sin reparar muchas veces en el resto de campos. Está claro que la empresa IER ha olvidado que los datos personales son críticos, y esto es un ejemplo de Incidente de seguridad donde los datos personales quedan completamente expuestos.

check-in5

Y es que con el “autofill” a pleno rendimiento, solo necesitas un rato para extraer todos los datos de los viajeros que emplearon el terminal. Un método discreto es emplear la cámara del móvil para grabar mientras en cada campo recorres el scroll. Ya habrá tiempo en casa de pasar los datos a limpio, y tener una base de datos bien organizada. No iba a resultar problemático o sospechoso, puesto que ahora con los billetes electrónicos, muchas veces se necesita introducir la referencia de vuelo o bien el escaneo de algún código QR proporcionado por la compañía, así que es habitual que la gente tenga el teléfono móvil en la mano mientras realiza su registro.

De acuerdo al funcionamiento de la aplicación, la única forma de entrada de datos debe de ser por OCR, es decir, manualmente tan solo puede introducirse el Booking Reference, digamos el código único de tu registro. Y es por eso que habrán tenido semejante error, tanto en las fases de diseño, desarrollo y en las pruebas de QA.

No hace falta decir que tras ver eso, fui directamente al mostrador de la compañía para que me hiciesen el check-in allí mismo, no quería que mis datos quedaran registrados en los terminales automáticos.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s