![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2017\/01\/06135849\/boarding-pass-fraud-featured.jpg\")
<\/p>\nVoc\u00ea j\u00e1 deve ter visto fotos de passagens a\u00e9reas nas m\u00eddias sociais. Apesar de ser algo inseguro, n\u00e3o impede que o Instagram esteja repleto de milhares de imagens, exibindo bilhetes, ingressos de shows e at\u00e9 tickets\u00a0de loteria.<\/p>\n
Se todo mundo faz isso, por que voc\u00ea n\u00e3o deveria?<\/p>\n
<\/p>\n
Na verdade, publicar uma passagem online \u00e9 uma\u00a0das piores\u00a0coisas que voc\u00ea deve fazer. Esse peda\u00e7o de papel cont\u00e9m dados que permitem a\u00a0qualquer pessoa roubar sua passagem (sem exagero), acumular milhas, ou causar uma tremenda confus\u00e3o em sua viagem. H\u00e1 mais de um ano, discutimos<\/a> os tipos de piada de p\u00e9ssimo gosto que algu\u00e9m poderia pregar por meio das informa\u00e7\u00f5es obtidas com sua passagem.\u00a0 Recentemente, os especialistas em seguran\u00e7a\u00a0Karsten Nohl e Nemanja Nikodijevic levantaram a discuss\u00e3o novamente, \u00a0no\u00a0Chaos Communication Congress (33\u04213).<\/p>\n Companhias a\u00e9reas,\u00a0ag\u00eancias de viagem, \u00a0sites de compara\u00e7\u00e3o de pre\u00e7os e muitos outros servi\u00e7os trabalham juntos para fornecer oportunidades de reserva para passageiros. A ind\u00fastria utiliza Sistemas Globais de Distribui\u00e7\u00e3o<\/a> (GDS na sigla ingl\u00eas) para verificar disponibilidade de voos, assegurar que o mesmo assento n\u00e3o seja reservado duas vezes, entre outros. Esses sistemas s\u00e3o altamente interligados a servi\u00e7os Web \u2013 o que n\u00e3o pressup\u00f5e que possuam boa prote\u00e7\u00e3o.\u00a0 Como resultado,\u00a0as interfaces GDS permanecem ultrapassadas em termos de seguran\u00e7a\u00a0e fornecem aos criminosos uma grande superf\u00edcie de ataque.<\/p>\n Embora seja poss\u00edvel apontar 20 empresas que lidam com GDS no momento, \u00a0a dupla de especialistas tomou por foco tr\u00eas principais: Sabre (fundada em 1960), Amadeus (em 1987) e Galileu (hoje faz parte do Travelport). Esses sistemas administram<\/a> mais de 90% das reservas de voos, hot\u00e9is, carros e outras reservas relacionadas a viagens.<\/p>\n Por exemplo, a Lufthansa e a AirBerlin trabalham com a Amadeus, \u00a0e com o buscador Expedia. \u00a0American Airlines e a russa Aeroflot possuem conv\u00eanio com a Sabre. De qualquer forma, \u00e9 dif\u00edcil afirmar com certeza, qual GDS armazena os dados privados de um passageiro em particular: por exemplo, se voc\u00ea reserva uma passagem da American Airlines pelo Expedia, tanto Amadeus quanto Sabre registram a transa\u00e7\u00e3o.<\/p>\n As regras do sistema de reservas variam. Os registros GDS normalmente cont\u00e9m nome do passageiro, n\u00famero de telefone, data de nascimento, dados de passaporte, \u00a0localizador, \u00a0partida e destino, data e hora do voo.\u00a0 Tamb\u00e9m inclui informa\u00e7\u00f5es de pagamento (como n\u00fameros de cart\u00f5es de cr\u00e9dito). Ou seja, informa\u00e7\u00f5es muito sens\u00edveis.<\/p>\n Nohl e Nikodijevic pontuaram que muitas pessoas tem acesso a esses dados, incluindo linhas a\u00e9reas, ag\u00eancias de viagem, representantes de hostels, e outros agentes. Pesquisadores sup\u00f5em que ag\u00eancias governamentais tamb\u00e9m t\u00eam acesso a esses dados. Mas isso \u00e9 s\u00f3 a ponta do iceberg.<\/p>\n Para acessar e alterar essa informa\u00e7\u00e3o, os sistemas usam o nome do passageiro como login e um c\u00f3digo de reserva de 6 d\u00edgitos (a maioria dos viajantes os conhecem como PNR<\/a>) como senha. <\/strong>Sim, aquele PNR impresso no cart\u00e3o de embarque e etiquetas de bagagens. Uma senha<\/strong>.<\/p>\n \u201cSe o PNR \u00e9 utilizado como senha, tem de ser tratado como tal.\u201d, Nohl afirmou na confer\u00eancia. \u201cMas isso n\u00e3o \u00e9 mantido em segredo: \u00e9 impresso em toda pe\u00e7a de bagagem. Costumava estar impresso no cart\u00e3o de embarque, at\u00e9 que foi substitu\u00eddo por um c\u00f3digo de barras.\u201d Esse\u00a0c\u00f3digo, no entanto, ainda cont\u00e9m o PNR.<\/p>\n A maioria dos passageiros n\u00e3o entende as min\u00facias da ind\u00fastria de voos, de modo que publicam suas passagens online, expondo consequentemente o PNR. Contudo, um c\u00f3digo de barra n\u00e3o \u00e9 um mist\u00e9rio;<\/a> softwares especiais podem l\u00ea-los. Dessa forma, qualquer um que tira uma foto de sua bagagem no aeroporto ou que encontra uma foto da sua passagem online pode acessar os dados privados atrelados \u00e0 sua passagem. N\u00e3o \u00e9 preciso ser nenhum hacker para explorar as vulnerabilidades do PNR \u2013 simplesmente tem de\u00a0saber para onde olhar. No v\u00eddeo abaixo voc\u00ea pode ver como Nohl e Nikodijevic decodificaram\u00a0o c\u00f3digo de barra de uma foto no Instagram.<\/p>\n![](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2017\/01\/06135631\/airplanetickets-on-instagram.jpg\")
<\/p>\n