A falha foi descoberta pelo investigador israelita Noam Rotem que estava a trabalhar com os laboratórios da Safety Detective, que publicou ontem a investigação onde mostra que cerca de metade dos passageiros das principais companhias aéreas podem ter sido afetados por esta vulnerabilidade.

Segundo o hacker e ativista, qualquer pessoa pode aceder e mudar informações privadas na reserva de uma viagem, utilizando a plataforma da Amadeus que é a base dos sistemas de reservas das maiores companhias aéreas, incluindo a Lufthansa, British Airways, United Airlines e TAP.

A falha foi primeiro identificada nas reservas da companhia aérea israelita, ELAL, mas foi depois verificado que estava replicada em toda a plataforma, que suporta mais de 40% das reservas das companhias aéreas, afetando dezenas de milhões de passageiros.

No site da empresa mostra que com o nome do cliente e o identificador da viagem é possível aceder ao site, fazer mudança, reclamar milhas para uma conta pessoal, alterar o lugar e definir refeições, atualizar os emails e número de telefone dos clientes e mesmo cancelar ou mudar a reserva da viagem. Estes dados de identificação da viagem são enviados pela companhia aérea por email sem qualquer encriptação e podem ser facilmente acedidos em partilhas nas redes sociais.

Segundo o hacker, esta é apenas a ponta do icebergue e com um simples script foi fácil encontrar códigos de clientes aleatórios, que incluíam toda a sua informação pessoal.

Noam Rotem contactou a companhia aérea avisando sobre a vulnerabilidade e sugerindo outros mecanismos de proteção, como o uso de captchas, passwords e mesmo bots.

Segundo o artigo, a vulnerabilidade já foi corrigida  e o acesso aos dados de reserva já não é possível. A Amadeus confirmou à  Safety Detective que depois do alerta foram tomadas medidas para resolver a falha de segurança e reforçar os mecanismos de proteção.