krebsonsecurity.- La próxima vez que estés pensando en tirar un pase de abordar que utilice un código de barras en él, considera lanzarlo pero a una destructora de documentos en su lugar. Los códigos de barras bidimensionales y códigos QR pueden contener una gran cantidad de información, y los códigos impresos en los pases de abordar de las aerolíneas pueden permitir a alguien descubrir más sobre ti, tus futuros planes de viaje, y tu cuenta de viajero frecuente.
A principios de este año, un viejo lector de KrebsOnSecurity llamado Cory dijo que comenzó a sentir curiosidad acerca de los datos almacenados en el interior de un código de barras de un pase de abordar después de que un amigo puso una foto de su pase en Facebook. Cory tomó la imagen, la amplió, y rápidamente encontró un sitio en línea que pudiera leer los datos.
Un viejo pase de abordar de Delta con un código de barras que no incluye un número de viajero frecuente. Fuente: IATA.
"He encontrado un sitio web que podría decodificar los datos y de inmediato tuve un montón de información acerca de su viaje", dijo Cory, que muestra paso-a-paso exactamente cómo fue capaz de encontrar esta información.
"Además de su nombre, número de viajero frecuente y otros [información de identificación personal], tuve la oportunidad de conseguir su récord localizador (también conocido como "clave de registro" para el vuelo de Lufthansa que estaba tomando ese día", dijo Cory. "Entonces procedí al sitio web de Lufthansa y el use su apellido (que fue codificado en el código de barras) y el localizador de registro fue capaz de tener acceso a toda su cuenta. No sólo podía ver éste vuelo, pero yo pude ver TODOS sus futuros vuelos que estaban reservadas a su número de viajero frecuente de la Star Alliance".
El acceso concedido por el sitio de Lufthansa también incluyó el número de teléfono de su amigo, y el nombre de la persona que reservó el vuelo. Más preocupante, Cory tenía ahora la posibilidad de ver todos los vuelos futuros vinculados a la cuenta de viajero frecuente, cambiar asientos, e incluso cancelar los vuelos futuros.
La información contenida en pase de abordar podría hacer más fácil para un atacante el reasignar el número PIN utilizado para asegurar la cuenta de viajero frecuenteStar Alliance de su amigo.
Después de eso, el sitio pide la respuesta a una pregunta secreta preseleccionado. La pregunta en el caso del amigo de Corey fue "¿Cuál es el apellido de soltera de su madre?" Esa información a menudo se puede extraer simplemente hojeando las páginas de redes sociales de alguien.
La lectura del código de barras en la tarjeta de embarque de un amigo de Cory (redactado).
United Airlines parece tratar a los números de viajero frecuente de sus clientes como claves de acceso secretas. Por ejemplo, si estás buscando tu número United Mileage Plus, y no tienes el documento original o la tarjeta de miembro que te envían por correo, buena suerte para encontrar esta información en tu correspondencia de correo electrónico de la empresa. A pesar de que United no incluye este código en su correspondencia, todo menos los últimos tres caracteres se sustituyen con asteriscos. Lo mismo ocurre con los pases de abordar de United. Sin embargo, el número completo de Mileage Plus está disponible si se toma el tiempo para descifrar el código de barras de un pase de abordar.
¿Interesado en aprender lo que está en el código de barras de tu pase de abordar? Toma una foto del código de barras, y súbela al sitio que mencionamos al inicio de esta publicación.
