Por @Alvy — 16 de Septiembre de 2020

Instagram con la tarjeta de embarque de Tony Abbot, Primer Ministro australiano

¡Niños y niñas! No hagáis fotos de vuestras tarjetas de embarque para enseñarlas por ahí, y menos las compartáis en Instagram, Facebook, Twitter, que nunca se sabe lo que puede acabar pasando. Y es que con la información visible se puede llegar a conocer a veces el número de pasaporte de una persona, entrar en sitios web suplantándola, averiguar más datos personales… y liarla parda. Por aquí Wicho ya avisó hace algunos años al respecto.

Esto es lo que cuenta un hacker llamado Alex con un gran sentido del humor en When you browse Instagram and find former Australian Prime Minister Tony Abbott's passport number («Cuando estás mirando Instagram y te encuentras con el número de pasaporte del Primer Ministro australiano Tony Abbot»).

La historia es tan larga que merece la pena leerla completa, pero un resumen más o menos rápido sería este:

Allá por marzo, a Alex –el hacker protagonista de la historia– una de sus amistades le envía una foto que ha visto pasar por Instagram (y que al poco tiempo se borró): es una tarjeta de embarque a nombre de Tony Abbot, que fuera Primer Ministro de Australia entre 2013 y 2015. Se ve que volvía de un viaje a Japón y por lo que sea la foto acabó en Instagram. Mucha gente las publica, por postureo o de forma inadvertida; de hecho buscando por #boardingpass es fácil encontrar miles de ellas. «¿Puedes hackear a este tío?», le pregunta.

Alex investiga un poco y descubre que si se tiene la información de la tarjeta de embarque se pueden «averiguar cosas» sobre el titular. Lo más relevante está en el código de barras y al mismo tiempo en un apartado llamado booking reference, que es lo mismo pero con números legibles. Con ese número va a la web de Quantas, que le pide para entrar en las reservas esa referencia y el apellido del titular.

Con eso ya estás dentro, que dicen los hackers.

En esas páginas no suele haber mucha información: nombre, apellido, ruta, número de viajero frecuente, etcétera. Pero se le ocurre mirar en el código fuente de la página donde, voilà, aparecen el número de pasaporte, fecha de nacimiento, país de nacimiento y tropecientas cosas más. ¡WTF de fallo de seguridad!

Entre otras cosas también aparecen su número de teléfono y todos los códigos SSR (Special Service Request) asociados al billete: cosas como si prefieres ventanilla o pasillo, comida vegetariana o si llevas un animal de apoyo emocional en cabina (una mascota, vamos). [Del tema «animales de apoyo emocionales» en los aviones podemos hablar otro día, por cierto].

Llegados a este punto Alex decide que teniendo el teléfono móvil personal del ex-primer ministro de Australia se puede meter en un buen lío y comienza un largo periplo para avisar del problema/agujero. Primero lo intenta en la aerolínea, pero la web de Quantas funciona tan bien como la web de Renfe por lo que se ve. Luego pregunta a un abogado por si las moscas, mira si puede avisar al Gobierno o a algún otro sitio. Todo es un poco lioso. Finalmente decide enviar un correo a la agencia de seguridad australiana, que le contesta pidiéndole más información.

{Ojo, spoilers a partir de aquí}

.
.
.

Reto: Que No Te Arresten

La historia tiene final feliz: El agujero de seguridad se resuelve. Quantas lo achaca al vetusto de sistema Amadeus de las aerolíneas, pero no da más información. Alex consigue localizar a una persona que es el asistente del asistente de Tony Abott. Finalmente el propio Abott, interesado en el tema, acaba hablando por teléfono con Alex para ver qué sucedió e interesarse al respecto [lo cual equivaldría a que aquí en España Aznar llamar a alguien para interesarse por su hackeo]. Alex incluso le habla de transcribir la historia, que es lo que hace (es el artículo enlazado al principio de esa anotación) y además con gran sentido del humor. De hecho en su página hay un diploma honorífico “Por sus logros en el Reto «Que no te arresten» 2020”… porque en algunos momentos se temió lo peor.

Moraleja: aunque no se acaba el mundo por que publiques una foto de tu tarjeta de embarque, igual prefieres no hacerlo por la cantidad de información que alguien con ingenio y habilidad puede llegar a extraer de ella. Y si se combina con otros datos personales, entonces sí que se puede liar una buena.

Relacionado:

Compartir en Flipboard Compartir en Facebook Tuitear

PUBLICIDAD



Compartir en Flipboard Compartir en Facebook Tuitear

PUBLICIDAD



Por @Alvy — 16 de Septiembre de 2020

Encontré este curioso vídeo de DigiDigger acerca de cómo funcionan los juegos no-euclidianos, donde se mencionan varios de los más conocidos y que alguna vez hemos comentado por aquí, como Superliminal, Antichamber o incluso el megaclásico Portal. En todos ellos la geometría «se vuelve loca» aunque, matemáticamente, no tanto.

La regla básica para crear estos juegos es romper alguna de las tres reglas de los postulados de Euclides que definen la geometría clásica que estudiamos en el colegio de pequeños. Como estos postulados se definen para una superficie plana, si se utiliza un espacio 3D de tipo esférico o hiperbólico comienzan a suceder cosas raras. Además de eso muchos utilizan «trucos» como cambiar el punto de vista, teletransportar a los personajes, desviar los rayos de luz o utilizar objetos que cambian de tamaño (la clásica «perspectiva forzada»).

El resumen es entretenido y permite repasar un poco cómo son la geometría euclidiana y las no-euclidianas, además de servir para algún juego de este tipo –normalmente de puzles lógicos y con escenarios hipnóticos– a cual más enigmático y encantador. A continuación algunos enlaces relacionados:

Compartir en Flipboard Compartir en Facebook Tuitear

PUBLICIDAD



Por @Wicho — 16 de Septiembre de 2020

Interior de la cabina durante los vuelos de pruebaUna breve nota de prensa en la web de la Agencia Europea de Seguridad Aérea (EASA por sus siglas en inglés) informa de que ha completado sus vuelos de prueba de cara a la vuelta al servicio del Boeing 737 MAX: EASA completes its Boeing 737 MAX test flights.

Esos vuelos tuvieron lugar en la semana del 8 de septiembre de 2020 y partieron del aeropuerto de Vancouver en Canadá debido a las restricciones de viaje que están en vigor a causa de la pandemia de COVID–19. Las pruebas de la EASA, que han incluido sesiones de simulador además de vuelos reales, se unen a las de Transport Canada y las de la Administración Federal de Aviación de los Estados Unidos (FAA).

La EASA presentará los datos y otra información reunida durante los vuelos en la reunión de la Junta Conjunta de Evaluación de Operaciones (JOEB) que está teniendo lugar esta semana en Gatwick, en el Reino Unido. Durante esta reunión se analizarán a fondo los cambios propuestos por Boeing en el entrenamiento de las tripulaciones del 737 MAX para cubrir los cambios en el funcionamiento del avión tras los accidentes de los vuelos Lion Air 610 y Ethiopian Airlines 302 que acabaron con la prohibición de que el modelo volara en ningún lugar del mundo.

Los resultados de esta reunión serán compartidos con la FAA, que los usará como guía en la aprobación de los programas de formación de tripulaciones del modelo así como en los programas de comprobación de competencia de las tripulaciones.

Será entonces cuando Steve Dickson, el director de la FAA, que antes de ocupar el puesto pilotaba Boeing 737 para Delta, complete la formación sugerida y lleve a cabo un vuelo para evaluar su resultado. Dickson aportará sus impresiones a la FAA, que las usará para ayudar a decidir si todo está bien en lo que se refiere a la formación de las tripulaciones del «nuevo» 737 MAX.

La FAA está también pendiente de que termine el plazo de alegaciones a su plan para la vuelta al servicio del MAX. Ese plazo termina el 21 de septiembre.

Si todo va bien la idea es que con la información obtenida de la JOEB acerca de la formación, las aportaciones públicas al plan de vuelta al servicio del MAX, y las aportaciones que haga una junta independiente que incluye personas expertas de distintas agencias y organismos la FAA pueda publicar finalmente una directiva de aeronavegabilidad que exponga todo lo que es necesario para que el MAX vuelva al servicio. Esa directiva informará a los operadores del avión de las medidas correctivas necesarias antes de que las aeronaves puedan volver a entrar en servicio comercial.

Con la directiva publicada la FAA podrá entonces retirar la orden que impide volar al Boeing 737 MAX, siempre a expensas de que las aerolíneas cumplan con lo especificado en la directiva.

No hay plazos firmes para esto pero quizás podemos estar hablando de entre 30 y 60 días para el primer vuelo comercial de un MAX una vez publicada la directiva.

Esto es en los Estados Unidos, claro. Queda por ver cómo y cuando el resto de las autoridades del mundo autorizan la vuelta al servicio del MAX.

Relacionado,

Compartir en Flipboard Compartir en Facebook Tuitear

PUBLICIDAD




PUBLICIDAD


Microsiervos Selección


Mala ciencia: No te dejes engañar por curanderos, charlatanes y otros farsantes

EUR 9,45

Comprar


Designed in the USSR

EUR 23,40 (Reseña en Microsiervos)

Comprar


Amazon Associates

Los productos aquí enlazados están a la venta en Amazon. Incluyen un código de Afiliado Amazon Associates que nos cede un pequeño porcentaje de las ventas. Los productos están seleccionados por los autores del blog, pero ni Amazon ni los editores de los libros o fabricantes de los productos participan en dicha selección.

Más libros y productos en:

Microsiervos Selección