Comprar uma passagem aérea pela internet está cada dia mais fácil. É
preciso apenas selecionar o trajeto e a data, preencher seus dados, efetuar o
pagamento e clicar na opção de "reservar voo".
A partir deste momento, tudo fica gravado num código que é enviado por
e-mail e que garante a sua reserva. Fácil assim.
Este código alfanumérico de cinco ou seis dígitos é fundamental. Os
especialistas o chamam de PNR –o acrônimo em inglês de Passenger Name Record
(registro de nome de passageiro, na tradução em português)–, mas ele armazena
muito mais do que apenas os dados do voo.
"Qualquer pessoa que tirar uma foto do seu código PNR, ou o
encontrar na internet, pode saber quem você é, de onde viaja e com quem, seu
número de celular, endereço, e-mail, itinerário de viagem, assento e até os
números de cartões de crédito", conta à BBC Mundo Karsten Nohl,
especialista em engenharia de informática e criptografia, que trabalha na
companhia de segurança alemã Security Research Labs.
A empresa de consultoria acaba de publicar um comunicado alertando o que
considera uma "ameaça à privacidade dos viajantes", que Nohl
apresentou em dezembro no Chaos Communications Congress, o maior evento anual
da Europa sobre hacking.
Nohl pesquisa o assunto há mais de uma década. Ele explica que o sistema
é usado desde a era pré-digital, nos anos 70 e 80, e que pouco mudou desde
então, apesar dos riscos de ataques de hackers ao gerenciamento das reservas
online.
"Apenas com o sobrenome do passageiro, é possível encontrar seu
código de reserva na internet sem grande esforço", disse o Security
Research Labs num comunicado.
E o uso desse sistema não se reduz a viagens aéreas. Também é utilizado
para reservar quartos de hotel, comprar bilhetes de trem ou alugar carros pela
internet.
O mais preocupante, destaca Nohl, é que o sistema não prevê o uso de uma
contrassenha. E fica impresso no cartão de embarque e na etiqueta da bagagem.
"O PNR contém muito
mais informação pessoal do que a maioria das pessoas pensa. Pode incluir
informações sobre com quem viaja, quantos quartos de hotel reservou, que menu
pediu no avião ou com que endereço IP (identificação do computador) fez a
reserva", explica à BBC Mundo o escritor e jornalista norte-americano
Edward Hasbrouck, autor do livro The Practical Nomad (2001) e consultor no
Identity Project, iniciativa voltada para questões de liberdades civis que
afetam viajantes.
"Os dados mais
delicados são os relacionados à própria viagem: onde vai estar e quando. Essa
informação pode ser usada para te espiar e assediar, ou para roubar sua casa
quando você não estiver nela", alerta Hasbrouck, que há 15 anos pesquisa o
tema.
"Também há
riscos potenciais de roubo de identidade", acrescenta.
Em relação aos riscos
de crime financeiro, o especialista afirma que são "menos sérios" e
que afetariam principalmente as agências de viagem e companhias aéreas, e não
os consumidores.
Os especialistas
destacam a necessidade de medidas no que veem como "um conflito entre
segurança e privacidade que a indústria do turismo deve resolver", nas
palavras do próprio Nohl.
A preocupação com a
segurança contra ataques e atentados levou a mudanças nos acordos de PNR entre
a União Europeia e os Estados Unidos, que permitem a transferência de
informação a autoridades como parte da "luta contra o terror".
Um dos mais polêmicos
foi firmado depois dos ataques do 11 de setembro de 2011 em Nova York e
permitiu a transferência de dados de longo prazo de passageiros europeus a
autoridades norte-americanas.
E há outros atores
envolvidos nessa troca de informações, como o Sistema Global de Distribuição
(GDS na sigla em inglês), que gerencia as reservas de 90% das passagens aéreas
de todo o mundo, englobando três alianças de companhias áreas: uma com base na
Espanha, a Amadeus (Air France, Lufthansa, Iberia e Scandinavian Airlines), e
duas nos Estados Unidos, a Sabre (American Airlines e IBM) e a Travelport (da
união entre Galielo e Worldspan, em 2007).
AS POSSÍVEIS
SOLUÇÕES
Para Nohl, uma
solução seria proporcionar uma senha aos viajante na hora de fazer sua reserva.
Mas alerta que isto levará tempo, pois requer a colaboração das instituições.
De acordo com o
criptógrafo, a forma como são escolhidos os códigos PNR nos deixa menos seguros
do que qualquer senha de cinco dígitos.
Além disso, tanto o
GSD como as páginas na internet das empresas aéreas permitem fazer milhares de
reservas através de um único endereço IP, o que põe o comprador em risco.
Hasbrouck diz que
seus usuários "devem exigir urgentemente mudanças técnicas às companhias e
pedir que sejam reforçadas as leis de proteção de dados".
Nohl contou à BBC
Mundo que "tem tido conversas" com duas das empresas GDS, mas não deu
detalhes do que foi discutido.
"Estamos
avaliando os resultados das pesquisas sobre a segurança da indústria de viagens
e temos tido melhoras. Damos prioridade à segurança dos clientes e dos dados e
revisamos continuamente nossos sistemas e processos", respondeu à BBC
Mundo um porta-voz da Amadeus.
"Vamos considerar
estas descobertas e trabalharemos juntos com nossos colaboradores para tratar
dessas questões e buscar soluções a potenciais problemas", acrescentou.
O Travelport destacou
a "cibersegurança e a privacidade do cliente como prioridades
críticas" e afirmou que está fazendo "contínuos investimentos em seus
sistemas e se comprometendo com vários atores da indústria para implementar
qualquer mudança recomendada em reservas pela internet".
Timothy Enstice,
diretor de comunicação da Sabre, disse que "o acesso não autorizado a
informações de viajantes, através do GDS, é bastante improvável porque temos
várias camadas de segurança para restringi-lo", e destacou que "são
outros atores do setor de viagens que devem adotar medidas similares de segurança".
O que
é o PNR?
·
PNR
(Passenger Name Record) é um código de reserva que companhias aéreas utilizam
para acessar informações de viajantes.
·
Está
impresso no cartão de embarque e na etiqueta de bagagem.
·
Também
é possível acessar às informações do código através da página na internet da
companhia aérea ou dos DGS (Global Distribution Systems), os sistemas de
informática para reservas do setor turístico.
·
Inclui
dados pessoais como nome, endereço ou número de telefone do viajante, mas
também informações sensíveis e detalhes referentes à reserva.
O
que podem fazer com seu PNR pessoas mal-intencionadas?
Existem quatro tipos
de abusos potenciais:
·
Invasão
de privacidade: o código contém informação de contato, datas de viagens e
preferências e, muitas vezes, os dados de seu passaporte.
·
Roubo
de voos: a maioria das empresas aéreas permite trocar seu voo ou até cancelá-lo
com seu PNR, tornando possível que um fraudador voe de graça.
·
Desvio
de milhas: ao mudar a informação sobre o viajante na reserva, podem roubar suas
milhas aéreas sem comprar outro voo.
·
Pishing/vishing:
os hackers podem usar práticas fraudulentas de engenharia social (obter
informação confidencial) ou acessar seus dados de pagamento ou credenciais.
Fonte: Security Research Labs
O
que podem fazer os viajantes?
Hasbrouck aconselha
tratar o código e o localizador de reserva como se fosse uma "senha
especialmente delicada", pois não pode ser modificada.
·
Rasgar
ou queimar seus cartões de embarque, etiquetas de bagagem e de itinerários e
e-mails das empresas aéreas e agências de viagens que sejam impressos e que
contenham o código do localizador.
·
Tirar
as etiquetas de bagagem (e escondê-las até que possam ser destruídas) assim que
recolher a bagagem.
·
Nunca
compartilhar ou ler em voz alta seu localizador num telefone público. Não o
compartilhar com ninguém que não seja sua empresa aérea ou agência de viagens.
(Fonte : BBC Brasil / Imagem divulgação)