¡Niños y niñas! No hagáis fotos de vuestras tarjetas de embarque para enseñarlas por ahí, y menos las compartáis en Instagram, Facebook, Twitter, que nunca se sabe lo que puede acabar pasando. Y es que con la información visible se puede llegar a conocer a veces el número de pasaporte de una persona, entrar en sitios web suplantándola, averiguar más datos personales… y liarla parda. Por aquí Wicho ya avisó hace algunos años al respecto.
Esto es lo que cuenta un hacker llamado Alex con un gran sentido del humor en When you browse Instagram and find former Australian Prime Minister Tony Abbott's passport number («Cuando estás mirando Instagram y te encuentras con el número de pasaporte del Primer Ministro australiano Tony Abbot»).
La historia es tan larga que merece la pena leerla completa, pero un resumen más o menos rápido sería este:
Allá por marzo, a Alex –el hacker protagonista de la historia– una de sus amistades le envía una foto que ha visto pasar por Instagram (y que al poco tiempo se borró): es una tarjeta de embarque a nombre de Tony Abbot, que fuera Primer Ministro de Australia entre 2013 y 2015. Se ve que volvía de un viaje a Japón y por lo que sea la foto acabó en Instagram. Mucha gente las publica, por postureo o de forma inadvertida; de hecho buscando por #boardingpass es fácil encontrar miles de ellas. «¿Puedes hackear a este tío?», le pregunta.
Alex investiga un poco y descubre que si se tiene la información de la tarjeta de embarque se pueden «averiguar cosas» sobre el titular. Lo más relevante está en el código de barras y al mismo tiempo en un apartado llamado booking reference, que es lo mismo pero con números legibles. Con ese número va a la web de Quantas, que le pide para entrar en las reservas esa referencia y el apellido del titular.
Con eso ya estás dentro, que dicen los hackers.
En esas páginas no suele haber mucha información: nombre, apellido, ruta, número de viajero frecuente, etcétera. Pero se le ocurre mirar en el código fuente de la página donde, voilà, aparecen el número de pasaporte, fecha de nacimiento, país de nacimiento y tropecientas cosas más. ¡WTF de fallo de seguridad!
Entre otras cosas también aparecen su número de teléfono y todos los códigos SSR (Special Service Request) asociados al billete: cosas como si prefieres ventanilla o pasillo, comida vegetariana o si llevas un animal de apoyo emocional en cabina (una mascota, vamos). [Del tema «animales de apoyo emocionales» en los aviones podemos hablar otro día, por cierto].
Llegados a este punto Alex decide que teniendo el teléfono móvil personal del ex-primer ministro de Australia se puede meter en un buen lío y comienza un largo periplo para avisar del problema/agujero. Primero lo intenta en la aerolínea, pero la web de Quantas funciona tan bien como la web de Renfe por lo que se ve. Luego pregunta a un abogado por si las moscas, mira si puede avisar al Gobierno o a algún otro sitio. Todo es un poco lioso. Finalmente decide enviar un correo a la agencia de seguridad australiana, que le contesta pidiéndole más información.
{Ojo, spoilers a partir de aquí}
.
.
.
La historia tiene final feliz: El agujero de seguridad se resuelve. Quantas lo achaca al vetusto de sistema Amadeus de las aerolíneas, pero no da más información. Alex consigue localizar a una persona que es el asistente del asistente de Tony Abott. Finalmente el propio Abott, interesado en el tema, acaba hablando por teléfono con Alex para ver qué sucedió e interesarse al respecto [lo cual equivaldría a que aquí en España Aznar llamar a alguien para interesarse por su hackeo]. Alex incluso le habla de transcribir la historia, que es lo que hace (es el artículo enlazado al principio de esa anotación) y además con gran sentido del humor. De hecho en su página hay un diploma honorífico “Por sus logros en el Reto «Que no te arresten» 2020”… porque en algunos momentos se temió lo peor.
Moraleja: aunque no se acaba el mundo por que publiques una foto de tu tarjeta de embarque, igual prefieres no hacerlo por la cantidad de información que alguien con ingenio y habilidad puede llegar a extraer de ella. Y si se combina con otros datos personales, entonces sí que se puede liar una buena.
Relacionado: