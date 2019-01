Uma vulnerabilidade na ferramenta de reservas de voos online Amadeus - usada por 44% das transportadoras aéreas a nível mundial - expôs os dados de dezenas de milhões de passageiros. A descoberta foi feita pelo investigador israelita Noam Rotem e divulgada esta terça-feira pelo site Safety Detective.

A falha permitia ao atacante aceder e alterar voos de qualquer passageiro usando apenas o número de reserva do bilhete - e que muitas vezes é partilhado pelos utilizadores em fotos publicadas nas redes sociais.

Além das alterações nas reservas, a falha também permitia ao atacante reclamar as milhas de passageiro frequente da vítima, mudar o lugar e as refeições, assim como alterar os contactos de email e telefone do passageiro. Ou seja, o atacante ganhava também poder para cancelar ou mudar por completo uma reserva de voo, sem que a vítima soubesse.

"Depois de executar um pequeno script para verificar se havia proteção contra ataques de tentativas múltiplas (brute force), tal não foi encontrado", escreve Noam Rotem na sua descoberta. Isto significa que os atacantes podem tentar um número ilimitado de combinações de números e caracteres para encontrar códigos verdadeiros de reserva de voos de pessoas de todo o mundo.

O investigador israelita divulgou a vulnerabilidade à Amadeus, que entretanto disse à publicação TechCrunch já ter corrigido o problema e que está a trabalhar de perto com os seus clientes nesta questão.

Não há por agora informação sobre se a vulnerabilidade foi explorada ativamente por piratas informáticos e se houve acesso indevido aos dados pessoais dos passageiros das companhias aéreas parceiras da Amadeus - que incluem nomes como a United Airlines, Lufthansa e também as transportadoras portuguesas TAP e SATA.

