Últimamente se habla bastante de la seguridad en aeropuertos y aviones.
Charlas en eventos como HiTB, RootedCON o T2, y además los medios de
comunicación prestan atención a las detenciones de hackers que han
confesado vulnerar la Wifi de servicio de un avión.
La tecnología avanza a pasos agigantados y más en los aeropuertos, pero
lo hace más deprisa que su propia seguridad, pese a todas las medidas de
control que nos ponen a los viajeros. Es algo muy sensible, y toda una
industria lucha por parecer más segura de lo que realmente es.
Cuando vas a un aeropuerto, difícilmente puede escapar de los kioskos o terminales automáticos
que ayudan a realizar tu check-in. Equipos destinados a agilizar las
largas colas en periodo vacacional, y que además sirven para sustituir
al personal de tierra en los aeropuertos de medio mundo.
El otro día me disponía a emplear una de esas máquinas en Croacia.
Volvía de vacaciones y me veía obligado a escanear mi pasaporte, ya que
estos equipos incorporan un escáner que mediante OCR transcribe los
datos del viajero y los vuelca en las bases de datos de las compañías.
Hasta aquí todo bien. El problema fue cuando el lector de la máquina que
estaba empleando no funcionaba correctamente, y mis datos no eran
incorporados de forma automática. Me solicitaba que acudiese al
mostrador debido a un error en la lectura de datos de mi pasaporte.
En vez de ir al mostrador, traté de alguna forma de incluir mis datos en
los campos obligatorios, pero iluso de mi, no se mostraba ningún
escritorio por pantalla. Era OCR o nada.
Sin embargo, vi que al pulsar sobre cada uno de los campos, veía información de los viajeros. ¿WTF?
Nombre, apellidos, nacionalidad, género, fecha de nacimientos,
DNI/Pasaporte y fecha de expiración. Tenía la posibilidad de visualizar
miles de datos de viajeros que habían escaneado sus pasaportes, y además
por orden. Los últimos en registrar sus datos, aparecían los primeros (Last In Fisrt Out).
Es curioso como las pruebas de seguridad en las aplicaciones, se centran casi exclusivamente sobre el campo “password” para evitar el autofill,
sin reparar muchas veces en el resto de campos. Está claro que la
empresa IER ha olvidado que los datos personales son críticos, y esto es
un ejemplo de Incidente de seguridad donde los datos personales quedan
completamente expuestos.
Y es que con el “autofill” a pleno rendimiento, solo necesitas un
rato para extraer todos los datos de los viajeros que emplearon el
terminal. Un método discreto es emplear la cámara del móvil para grabar
mientras en cada campo recorres el scroll. Ya habrá tiempo en casa de
pasar los datos a limpio, y tener una base de datos bien organizada. No
iba a resultar problemático o sospechoso, puesto que ahora con los
billetes electrónicos, muchas veces se necesita introducir la referencia
de vuelo o bien el escaneo de algún código QR proporcionado por la
compañía, así que es habitual que la gente tenga el teléfono móvil en la
mano mientras realiza su registro.
De acuerdo al funcionamiento de la aplicación, la única forma de entrada
de datos debe de ser por OCR, es decir, manualmente tan solo puede
introducirse el Booking Reference, digamos el código único de tu
registro. Y es por eso que habrán tenido semejante error, tanto en las
fases de diseño, desarrollo y en las pruebas de QA.
Ni que decir tiene que tras ver eso, fui directamente al mostrador de la
compañía para que me hiciesen el check-in allí mismo, no quería que mis
datos quedaran registrados en los terminales automáticos.
Contribución por Anónimo
