Stampato sulla carta d’imbarco, il codice PNR (Passenger name record) permette di abilitare il check in on line o di risalire al biglietto aereo acquistato. Sei cifre che possono essere utilizzate come una password per accedere alle informazioni personali, modificare i dettagli del volo o cancellare la prenotazione. Insomma, una parola chiave facilmente identificabile e visibile a tutti. Utilizzati nel 90% delle prenotazioni, Sabre, Amadeus e Travelport sono sistemi di gestione con almeno 40 anni di età. Sviluppati in un periodo che va dal 1960 al 1987 e integrati con le piattaforme web, potrebbero essere la porta d’accesso ai dati dei passeggeri: basta essere a conoscenza del codice e del cognome a cui è intestata la carta d’imbarco.

Lo dicono i risultati di uno studio realizzato da Karstein Nohl and Nemanja Nikodejevic del Security Research Labs, una società di sicurezza informatica con sede a Berlino. Secondo la ricerca (presentata qualche giorno fa al Chaos Communication Congress di Amburgo), basta fotografare il codice per poter accedere a informazioni personali come l’indirizzo di residenza, mail, numero di telefono e dati della carta di credito. E allo stesso tempo, questi sistemi sono facilmente accessibili, senza nessun controllo e alcun tipo di limite per quanto riguarda i tentativi per entrare. Senza dimenticare che in molti casi, i primi due caratteri del codice sono generati in maniera sequenziale durante una giornata: basta conoscerne uno per identificare tutti gli altri passeggeri.

«Se il PNR è una password, allora deve essere nascosto, non esposto sui bagagli o nelle carte d’imbarco», ha spiegato Nohl. In molti casi, la codifica viene celata da un codice a barre, ma allo stesso tempo, la cifratura è decifrabile con una semplice applicazione per lo smartphone. «Le compagnie aeree sono a conoscenza del problema, ma se ne rendono conto solo quando gli attacchi nei loro confronti diventano eccessivi, allora posso solo sperare che siano così eccessivi, da non poterli più ignorare», conclude Nohl.

