Desenvolvedor usa falha em site de companhia aérea para achar mala trocada

Desenvolvedor usa falha em site de companhia aérea para achar mala trocada

Quando o avião pousa com sucesso? Nada disso. O que deixa as pessoas mais aliviadas em um aeroporto é quando a sua bagagem surge na esteira. Se não surge, vem o pânico. Foi o que aconteceu com o engenheiro de software Nandan Kumar. Ele conseguiu reaver a mala perdida, mas, para isso, seguiu por um caminho incomum: “hackeou” o site da companhia aérea.

VTOL e eVTOL: os carros voadores estão chegando, mas estamos prontos?Como medir o tamanho da sua bagagem de mão com o celularPessoa com mala de viagem (imagem ilustrativa: rawpixel.com/Pexels)

Uma etiqueta de identificação que se solta ou um intervalo de tempo muito curto entre conexões estão entre os fatores que podem fazer a bagagem de uma pessoa não aparecer na esteira de seu voo.

Às vezes, a bagagem aparece, mas é recolhida erroneamente por outro passageiro que tem uma mala igual. Esse foi o caso de Kumar. Ele só percebeu que estava com a mala errada em casa. A confusão foi feita por uma pessoa que chegou antes à esteira, viu a mala de Kumar e a pegou pensando que se tratava de sua própria bagagem.

Ao notar que estava com a bagagem errada, Nandan Kumar extraiu o PNR (Passenger Name Record — código de identificação do passageiro) da etiqueta da mala e entrou em contato com a IndiGo, companhia aérea com a qual realizou o voo, na expectativa de contatar o outro passageiro e resolver o problema.

Por conta de sua política de privacidade, a IndiGo recusou o compartilhamento dos dados da outra pessoa, mas prometeu ligar para Kumar quando tivesse contato com ela. Só que a ligação nunca veio.

Aflito com a falta de retorno, Kumar entrou no site da companhia aérea e, ali, começou a fazer pesquisas com o PNR do outro passageiro na expectativa de encontrar o seu endereço ou telefone.

Não funcionou. Eis então que o engenheiro de software apertou F12 em seu teclado para o console de desenvolvedor abrir no navegador. A intenção era a de encontrar logs que pudessem contribuir para a sua busca. De repente, a surpresa: ainda que não aparecesse no site, o console mostrou que o número de telefone do outro passageiro estava no código-fonte da página.

Kumar ligou para o número encontrado, confirmou que a outra pessoa estava em seu voo e combinou com ela de destrocarem as malas. De fato, elas eram iguais:

Malas trocadas (imagem: Nandan Kumar)

IndiGo deveria ter criptografado os dados

Na tentativa de resolver um problema que o afetava diretamente, Nandan Kumar acabou descobrindo uma falha séria no site da IndiGo. Ao relatar a história no Twitter, o próprio engenheiro explicou que os dados trafegados no site deveriam ter sido criptografados.

Kumar tem razão. O PNR pode reunir muitos dados sobre uma pessoa e, portanto, o seu tratamento deve seguir princípios básicos de segurança, até porque a obtenção desse código não é difícil.

Pode acontecer, por exemplo, de um viajante divulgar as fotos de sua bagagem ou bilhete (o PNR também aparece na passagem) nas redes sociais sem se dar conta de que o seu código de identificação está aparecendo na imagem.

Os tweets de Kumar sobre o assunto tiveram uma repercussão relativamente grande, razão pela qual a companhia aérea usou o Twitter para afirmar que “seus processos de TI são completamente robustos e que em nenhum momento o site da IndiGo foi comprometido”.

De todo modo, a empresa prometeu analisar o caso. É de se esperar que isso inclua a revisão de seus procedimentos de atendimento: à BBC, a IndiGo explicou que tentou ligar para o seu cliente, mas as chamadas não foram atendidas. Só que parece que não foi assim.

Ainda no Twitter, Kumar relatou ter perguntado ao outro passageiro se ele havia recebido ligações da companhia aérea e a resposta foi negativa. Para o engenheiro de software, a IndiGo havia dito que tentou telefonar três vezes para o seu colega de voo.

Desenvolvedor usa falha em site de companhia aérea para achar mala trocada


Deixe uma resposta

O seu endereço de email não será publicado.