// TOM'S HARDWARE ITALIA — LINUX & OPEN SOURCE
Una semplice carta d'imbarco può svelare una valanga di dati personali
Una carta d'imbarco può contenere più potere di quanto sembri. Un ricercatore ha documentato vulnerabilità nel sito e nelle API di Frontier Airlines che avrebbero permesso di ottenere dati personali dei passeggeri partendo da codice prenotazione e cognome. Entrambi gli elementi sono spesso stampati sul biglietto o ricavabili dal codice a barre.
Il codice prenotazione, noto come PNR, è pensato per identificare una pratica di viaggio. In questo caso, però, sarebbe diventato una chiave per interrogare API mobili e recuperare informazioni molto più sensibili di quelle necessarie a gestire un check-in. Il ricercatore sostiene di aver replicato il problema anche tramite enumerazione, sfruttando la natura breve dei codici.
Tra i dati esposti figurerebbero indirizzo di casa, email, numero di telefono, data di nascita, dettagli del passaporto, cronologia dei pagamenti, quasi tutti i dati della carta esclusi alcuni numeri centrali e il CVV, oltre al codice TSA PreCheck. Anche se alcuni passaggi richiedevano il cognome, la barriera restava debole: il cognome è spesso visibile sulla stessa carta d'imbarco.
Il caso è rilevante perché tocca un'abitudine quotidiana. Molti viaggiatori fotografano o mostrano la carta d'imbarco senza considerarla un documento sensibile, e spesso la lasciano visibile su schermi, tavolini o cestini aeroportuali. Se un sistema backend collega quel dato a un profilo completo, il rischio non è più teorico.
Il ricercatore afferma di aver avvisato Frontier, ma di aver visto correzioni parziali. L'aggiunta del cognome come requisito riduce l'automazione più banale, ma non elimina il problema quando cognome e codice viaggiano insieme nello stesso documento. In sicurezza applicativa, la differenza tra identificatore e segreto è essenziale: il PNR dovrebbe identificare una prenotazione, non autorizzare l'accesso a un dossier.
Per gli utenti, l'unica difesa immediata è trattare le carte d'imbarco come documenti riservati, evitando foto pubbliche e distruzione superficiale dopo il viaggio. Per le compagnie aeree, la lezione è più severa: gli endpoint mobili devono limitare i dati restituiti, verificare sessioni e autorizzazioni, e impedire che un dato leggibile da chiunque apra l'intero profilo del passeggero.