India
Hombre hackeó la página web de una aerolínea para localizar su equipaje perdido
El ingeniero de sistemas reveló su historia a través de su cuenta de Twitter y advirtió las razones que lo motivaron a ello.
A través de las redes sociales, más precisamente de su cuenta de Twitter, un ingeniero de sistemas en la India, identificado como Nandan Kumar, reveló los detalles de una acción de hackeo en la que tuvo que incurrir para lograr resolver un imprevisto suscitado en el marco de un vuelo en el que, accidentalmente, le fue entregada la maleta de otro pasajero.
Según narró el protagonista de la historia, el hecho tuvo lugar el pasado mes de marzo de 2022, cuando se transportó a bordo de la aerolínea IndiGo; a la cual aprovechó para enviarle un mensaje, advirtiendo las fallas en su sistema de ciberseguridad.
En su hilo de Twitter, Kumar también dejó en evidencia, más que la vulnerabilidad de seguridad de la empresa en detrimento de sus usuarios, una evidente situación de negligencia frente a su estructura de atención al cliente.
Según detalló el ingeniero, la historia comenzó al haber abordado una vuelo de la referida aerolínea para cumplir con el trayecto entre las ciudades de Patna y Bangalore, en India, advirtiendo que al momento de la entrega de las maletas, la aerolínea le entregó un equipaje igual al suyo, pero perteneciente a otro pasajero, situación que solo hizo evidente al llegar a su casa, cuando su esposa se percató del error, basada en algunas características en el cierre de las maletas, así como en la tirilla en la que se especifica el pasajero al que corresponde el equipaje.
Tendencias
En ese momento, según narra, se comunicó a través de los canales de atención al cliente de la referida compañía de transporte aéreo, para informar sobre las fallas en la entrega del equipaje del vuelo 6E-185, e intentar ubicar al pasajero al que le habrían entregado su maleta.
El ingeniero afirma que no se había percatado del error, en tanto confiaba mucho en la rigurosidad de la empresa de transporte, señalando que pensó que todo iría en orden; no obstante, tras el hecho y el diálogo sostenido con los encargados de atención al cliente, pudo evidenciar que dicha compañía realmente no era tan estricta.
El ingeniero advirtió que “después de varias llamadas y navegar a través de @IndiGo6E IVR (página de la compañía) y, por supuesto, mucha espera, pude conectarme con uno de sus agentes de atención al cliente e intentaron conectarme con el co-pasajero. Pero todo fue en vano” .
En ese sentido, el ingeniero advirtió que, además de la demora, la aerolínea también se negó a entregar los datos del otro pasajero con quien habría ocurrido el cambiazo, no obstante, esperó el tiempo prudente advertido por la aerolínea, desde donde le prometieron que se pondrían en contacto luego de poder identificar al otro usuario víctima.
No obstante, pasado el tiempo previsto, y en respuesta a que no le dieron una solución rápida y se negaron a brindarle los datos de contacto de quien había tomado su maleta, aseguró que decidió conseguir la información por sí mismo, situación para la que aprovechó sus conocimientos como programador e ingeniero de sistemas.
Dijo que para conseguir acceder a los datos del otro pasajero simplemente la bastó con información como el código del viaje o la reserva, la cual estaba suscrita en la misma tirilla del viaje que tenía la maleta que recibió por error, advirtiendo que, aunque en inicio ello fue imposible, a través de la exploración del código de la página consiguió acceder al sistema y, con esa información, acceder al contacto del pasajero que podría tener su equipaje.
Aduce que tras lograr vulnerar el sitio, pudo acceder fácilmente al contacto e información registrada por el otro pasajero para así llamarlo telefónicamente, contarle lo ocurrido, y acordar un punto de encuentro para el nuevo cambio de maletas.
Según el ingeniero, víctima del cambiazo accidental, el otro pasajero se ubicaba a solo siete kilómetros de su residencia, lo que le permitió un encuentro oportuno para consolidar el cambio de la maleta. Sin embargo, decidió escalar el tema más allá de lo evidente, para elevar una advertencia a otros pasajeros sobre la vulnerabilidad de los datos, y sintiéndose también vulnerable, elevar una llamado especial a la aerolínea para denunciar el hueco en sus sistema de ciberseguridad.
Así las cosas, el ingeniero twitteó: “Estimado, @IndiGo6E toma nota:
1. Repare su IVR y hágalo más fácil de usar
2. Haz que tu servicio de atención al cliente sea más proactivo que reactivo
3. Su sitio web filtra datos confidenciales, arréglelo”.
Dear,@IndiGo6E take note
— Nandan kumar (@_sirius93_) March 28, 2022
1. Fix your IVR and make it more user friendly
2. Make your customer service more proactive than reactive
3. Your website leaks sensitive data get it fixed.
En ese mismo sentido, también buscó dejar una recomendación a los usuarios de los vuelos frente a los peligros que pueden existir con las plataformas de diligenciamiento de datos, en tanto los vacíos que estos pueden tener y la forma en la que, entonces, todos los datos entregados en cualquier diligencia a través de sistemas de cuestionarios online podrían estar eventualmente expuestos, y el peligro de que ello cayera en manos equivocadas.
My only suggestion to fellow passengers is to please do not share your boarding pass photos or your PNR details on social media or public domain.
— Nandan kumar (@_sirius93_) March 31, 2022
And I hope airlines take all these things in account and do something about it i.e. encrypt the data being sent over the network.
Tras conseguir nuevamente su equipaje, y entregar el equivocado, el ingeniero advirtió que al preguntarle al otro pasajero por si la empresa se había puesto en contacto con él, este le confirmó que no había recibido notificación alguna sobre el error.