A Security Research Labs aponta que há falha de segurança no código de reserva de passagens. Foto: Pixabay.

A companhia de segurança alemã Security Research Labs aponta que há falha de segurança no código de seis dígitos utilizado por companhias áreas para a reserva de passagens, conhecido pela sigla PNR (Passenger Name Record).

"Qualquer pessoa que tirar uma foto do seu código PNR, ou o encontrar na internet, pode saber quem você é, de onde viaja e com quem, seu número de celular, endereço, e-mail, itinerário de viagem, assento e até os números de cartões de crédito", relata Karsten Nohl, especialista em engenharia de informática e criptografia da Security Research Labs, à BBC.

O PNR fica impresso no cartão de embarque e na etiqueta de bagagem. Também é possível acessar às informações do código através do site da companhia aérea ou dos DGS (Global Distribution Systems), os sistemas de informática para reservas do setor turístico.

Além de informações do voo, o código Inclui dados pessoais como nome, endereço e número de telefone do viajante. O PNR também pode incluir informações de hotéis e aluguel de veículos.

Nohl, que pesquisa o assunto há mais de uma década, detalha que o sistema é usado desde os anos 70 e 80, e que pouco mudou desde então, apesar dos riscos de ataques de hackers ao gerenciamento das reservas online.

"Apenas com o sobrenome do passageiro, é possível encontrar seu código de reserva na internet sem grande esforço", explica o Security Research Labs.

O mais preocupante, destaca Nohl, é que o sistema não prevê o uso de uma contrassenha e fica impresso no cartão de embarque e na etiqueta da bagagem.

"O PNR contém muito mais informação pessoal do que a maioria das pessoas pensa. Pode incluir informações sobre com quem viaja, quantos quartos de hotel reservou, que menu pediu no avião ou com que endereço IP fez a reserva", ressalta à BBC Edward Hasbrouck, autor do livro The Practical Nomad (2001).

Com o PNR pessoas mal-intencionadas podem cometer invasão de privacidade com o acesso a informações de contato, datas de viagens e preferências e, muitas vezes, os dados do passaporte.

Também é possível realizar roubo de viagens, pois a maioria das empresas aéreas permite trocar o voo ou até cancelá-lo com o PNR, tornando possível que um fraudador voe de graça.

Outra possibilidade é o desvio de milhas, mudando a informação sobre o viajante na reserva.

Ações de pishing/vishing tamvém são possíveis, pois hackers podem usar práticas fraudulentas de engenharia social (obter informação confidencial) ou acessar seus dados de pagamento ou credenciais.

Hasbrouck aconselha tratar o código e o localizador de reserva como se fosse uma senha especialmente delicada, pois não pode ser modificada.

O especialista recomenda que os passageiros rasguem ou queimem os cartões de embarque, etiquetas de bagagem e de itinerários e e-mails das empresas aéreas e agências de viagens que sejam impressos e que contenham o código do localizador.

Também é importante tirar as etiquetas de bagagem assim que recolher as malas.

Para Nohl, uma solução para a falha de segurança seria proporcionar uma senha aos viajante na hora de fazer sua reserva. No entanto, ele alerta que isto levará tempo, pois requer a colaboração das instituições.

De acordo com ele, a forma como são escolhidos os códigos PNR deixa os passageiros menos seguros do que qualquer senha de cinco dígitos.

Além disso, tanto o GSD como as páginas na internet das empresas aéreas permitem fazer milhares de reservas através de um único endereço IP, o que põe o comprador em risco.