Nella giornata di giovedì 20 settembre 2018, il vice-premier Luigi Di Maio ha pubblicato su Instagram una foto delle sue carte d’imbarco utilizzate per un viaggio istituzionale in Cina. La storia è un turbine di fake news piuttosto confuso, ma cosa c’è di certo è che se per un comune cittadino pubblicare online una foto del proprio boarding pass è una pessima idea, per un vice-premier si tratta direttamente di un errore pericoloso.



Una rapida ricerca dell’hashtag #boardingpass restituisce circa 92.000 risultati su Instagram. Secondo i nostri calcoli, si tratta esattamente di 92.000 risultati di troppo. Questo perché non sono solamente i vostri follower ad essere deliziati dai vostri felici annunci di pre-partenza, ma anche i criminali interessati o a rubare la vostra identità usando il vostro nome per volare, o a prendere possesso del vostro account, cosa che può causare parecchi danni visto che significa mettere in mano a loro una carta d’imbarco e una vostra foto.

Solamente nella prima metà del 2017 ci sono già stati così tanti casi di furto di identità che la BBC ne ha parlato come di “una epidemia“. La demografica più colpita, però, non sono state le ingenue nonne che cliccano su link sospetti, ma invece le persone attorno ai 30 anni, i cosiddetti nativi digitali.

Ma come fanno i cyber criminali ad accedere alle identità online delle loro vittime, per di più proprio in un momento in cui i riflettori sono puntati sulla privacy e la necessità di avere una password sicura è una prerogativa sempre più impellente? La risposta è nei nostri feed. Molte persone non sanno che postando foto dei loro biglietti, o anche delle chiavi della loro macchina, stanno chiedendo amichevolmente agli sconosciuti di divertirsi un po’.

Il tuo codice di booking è come una password temporanea — e nemmeno delle migliori.

Quel codice da sei cifre, conosciuto dalle compagnie aeree come PNR (Passenger Name Record), è una miniera d’oro per i furti d’identità, come ha dimostrato l’anno scorso l’hacker Karsten Nohl durante il Chaos Communication Congress ad Amburgo, in Germania.

Nohl ha scoperto che il PNR non è altro che una password temporanea poco sicura fornita dalle compagnie aeree e che si trova tranquillamente sulle etichette per i bagagli. Chiunque conosca il tuo codice di booking e il tuo cognome può entrare nel portale online di check-in per avere qualche volo gratis, o semplicemente per fare un po’ di casino.

Su alcuni siti di compagnie aeree, il cognome del passeggero e il suo orario di partenza sono abbastanza per loggarsi come un passeggero registrato e ricevere una copia della carta d’imbarco. E visto che viviamo in un’era di accordi di codesharing tra le varie compagnie aeree, è possibile utilizzare il PNR per loggarsi ai siti di altre 5 o più compagnie aeree — A questo punto i criminali possono effettuare un attacco con relativa facilità e ottenere l’accesso a numerosi informazioni personali o possono ottenere in maniera fraudolenta un volo gratis. È semplicemente un modo per sfruttare uno dei peggiori tipi di configurazione possibili.

La storia dietro questo tipo di furto di voli aveva già fatto grande rumore a inizio 2017. Ma come spiegato dallo sviluppatore e esperto di cybersecurity Michal Spacek, i passeggeri delle linee aeree in particolare sembrano aver imparato poco o nulla negli otto mesi successivi. In un post sul suo sito ha mostrato tutto ciò che si può fare svolgendo una rapida ricerca fotografica sui social.

Con o senza un codice di booking: tre motivi per cui non dovresti postare la tua carta d’imbarco sui social.

Nei primi tre case studies svolti su Instagram, Spacek descrive come non solo abbia determinato la location di un amico in vacanza ad Hong Kong, ma ha spiegato anche come avrebbe potuto renderlo un criminale ricercato a livello internazionale. Poteva fare tutto ciò soltanto perché l’amico di Spacek aveva postato una composizione fotografica su Instagram con la sua carta d’imbarco, il suo smartphone e delle casse.

Grazie alla foto con il booking code chiaramente leggibile, Spacek ha potuto fare il login sul sito di check-in di British Airways, dove ha potuto leggere tutte le informazioni personali del suo amico — data di nascita e numero di passaporto inclusi — prima della sua partenza.

Per fargli uno scherzo, tutto ciò che Spacek avrebbe dovuto fare è convincere il sito che era il suo amico a tentare di cambiare i dettagli personali inseriti. Tutto ciò che gli mancava era il numero di passaporto della sua vittima, ma il sito gli ha gentilmente fornito la possibilità di inserire la data di nascita, anziché il passaporto. Nel caso di questa vittima, questa informazione non era soltanto disponibile nel registro della compagnia aerea, ma anche su Facebook. Spacek avrebbe potuto dunque modificare i suoi dati a piacimento — per esempio, cambiando il numero di passaporto in quello di un terrorista registrato nel database dell’Interpol.

Secondo esempio: Qualcuno — chiamiamola Anna — prova a tutelarsi su Instagram photoshoppando via il suo cognome dalla foto della carta di imbarco prima di pubblicarla online. Ma la cosa non serve a granché fintanto che il suo Aztec Code resta visibile. In questo caso, a Spacek basterebbe una app come “Barcode Scanner” per recuperare il nome completo del passeggero. Questa combinazione letale gli garantisce — a seconda del livello di sicurezza della compagnia aerea in questione — le stesse pericolose opportunità viste nel primo caso.

Gli utenti su Instagram amano rendere pubblici i voli che fanno — ma la qualità delle loro foto di rado è bassa come in questo caso. Screenshot via Instagram

Terzo caso: un uomo — nello specifico, il fondatore di una startup piuttosto famosa — pubblica una foto del suo smartwatch su cui si vede un Aztec Code invece del boarding pass. Spacek è riuscito a scansionarlo come nell’esempio precedente, e ha sbloccato qualcosa di valore ancora superiore: il numero da frequent flyer dell’uomo, un’informazione che le compagnia aeree in genere proteggono a tutti i costi.

Con l’aiuto di questo numero e delle informazioni disponibili pubblicamente, Spacek non doveva fare altro che rispondere a un paio di domande ridicole alla United Airlines per creare immediatamente una nuova password per l’account della vittima — che è come fare bingo, perché da lì in poi poteva ottenere altre informazioni rilevanti, come quelle di pagamento, quelle di prenotazione e indirizzi vari, per non parlare di un paio di voli gratis. Da quando Spacek ha dimostrato i risultati del suo hack, la United Airlines ha aggiunto un livello ulteriore di sicurezza per cambiare la password. Ma fino a poco tempo fa, l’hacker avrebbe potuto prendere in ostaggio l’identità del famoso startupper e impedirgli l’accesso al suo account.

Ma io voglio che tutti sappiano dove volo lo stesso!

Fai come ti pare, basta che non mostri nomi, codici di prenotazione, date, e barcode. Oscurare informazioni sensibili con una striscia nera è più furbo che sfocarle, perché, nelle giuste circostanze e con i giusti programmi, i pixel possono essere riportati alla loro forma originale, e spifferare proprio le informazioni che stai cercando di nascondere.

Anche se è poco probabile, quando si tratta di testo scritto e numeri è più sicuro barrare tutto di nero anziché fornire ai malintenzionati l’opportunità di ricostruire un’informazione dagli stralci che rimangono visibili.

Molte persone amano dimenticarsi che la cosa non riguarda solo le foto, ma anche i biglietti cartacei e i boarding pass. Anziché mollarli in giro a caso sull’aereo, è molto meglio eliminarli dopo averli usati — la scelta migliore in assoluto è farli a pezzetti. Se vuoi abbracciare la paranoia fino in fondo, puoi comprare un trituratore per la carta da tenere in casa o gettare i pezzi del tuo biglietto in bidoni dell’immondizia diversi quando arrivi a destinazione. Nella maggior parte dei casi, ad ogni modo, basta una sola piccola precauzione: non pubblicare il tuo boarding pass online. Per altro, un paio di foto dal finestrino dell’aereo saranno di gran lunga più efficaci e carine.

Come menarsela in sicurezza con le chiavi della macchina

Chiaro, sei mega gasato per la tua auto. Magari è nuova e probabilmente costosa, e ti piacerebbe mostrare al mondo intero che le chiavi della libertà sono appoggiate sul tavolo giusto di fianco al toast all’avocado che hai appena preparato. Ma le chiavi della tua auto non dovrebbero affatto stare su Facebook, Twitter o Instagram.

Questo perché ricreare un modello a computer preciso dai contorni e dalle ombre nella foto usando un programma di 3D è più facile di quel che pensiamo. Un software come CAD, per esempio, può ricostruire le forme presenti nelle foto, che sono poi convertite in file Flash, mentre il malintenzionato aspetta che la stampante 3D raggiunga la temperatura ottimale e sceglie con cura i colori perfetti per la copia in resina sintetica delle tue chiavi. Da lì, può capire la posizione della tua auto o del tuo appartamento tramite i geotag o altri stralci di informazioni facilmente ottenibili dai social media. Trenta minuti dopo, la copia è fatta — e nella maggior parte dei casi, la precisione della copia è sufficiente a mandare a segno il colpo.

Ad ogni modo, se non puoi proprio trattenerti dal postare le tue chiavi sui social media, puoi risolvere la cosa senza neanche usare Photoshop. Basta tenere le chiavi dalla parte della punta o almeno nasconderne un pezzo, così che nessuno possa vederle per intero e farne una copia. In conclusione, ecco un ultimo fantastico suggerimento: sfoggia con orgoglio la tua macchina, anziché le informazioni necessarie per fartela rubare.

Questo articolo è apparso originariamente su Motherboard Germania.