Desenvolvedor usa falha em site de companhia aérea para achar mala trocada

Nandan Kumar trocou de mala com outro passageiro; sem apoio da companhia aérea, ele usou os próprios meios para reaver sua bagagem

Emerson Alecrim

Quando o avião pousa com sucesso? Nada disso. O que deixa as pessoas mais aliviadas em um aeroporto é quando a sua bagagem surge na esteira. Se não surge, vem o pânico. Foi o que aconteceu com o engenheiro de software Nandan Kumar. Ele conseguiu reaver a mala perdida, mas, para isso, seguiu por um caminho incomum: “hackeou” o site da companhia aérea.

Pessoa com mala de viagem (Imagem ilustrativa: rawpixel.com/Pexels)
Pessoa com mala de viagem (imagem ilustrativa: rawpixel.com/Pexels)

Uma etiqueta de identificação que se solta ou um intervalo de tempo muito curto entre conexões estão entre os fatores que podem fazer a bagagem de uma pessoa não aparecer na esteira de seu voo.

Às vezes, a bagagem aparece, mas é recolhida erroneamente por outro passageiro que tem uma mala igual. Esse foi o caso de Kumar. Ele só percebeu que estava com a mala errada em casa. A confusão foi feita por uma pessoa que chegou antes à esteira, viu a mala de Kumar e a pegou pensando que se tratava de sua própria bagagem.

Ao notar que estava com a bagagem errada, Nandan Kumar extraiu o PNR (Passenger Name Record — código de identificação do passageiro) da etiqueta da mala e entrou em contato com a IndiGo, companhia aérea com a qual realizou o voo, na expectativa de contatar o outro passageiro e resolver o problema.

Por conta de sua política de privacidade, a IndiGo recusou o compartilhamento dos dados da outra pessoa, mas prometeu ligar para Kumar quando tivesse contato com ela. Só que a ligação nunca veio.

Aflito com a falta de retorno, Kumar entrou no site da companhia aérea e, ali, começou a fazer pesquisas com o PNR do outro passageiro na expectativa de encontrar o seu endereço ou telefone.

Não funcionou. Eis então que o engenheiro de software apertou F12 em seu teclado para o console de desenvolvedor abrir no navegador. A intenção era a de encontrar logs que pudessem contribuir para a sua busca. De repente, a surpresa: ainda que não aparecesse no site, o console mostrou que o número de telefone do outro passageiro estava no código-fonte da página.

Kumar ligou para o número encontrado, confirmou que a outra pessoa estava em seu voo e combinou com ela de destrocarem as malas. De fato, elas eram iguais:

Malas trocadas (imagem: Nandan Kumar)
Malas trocadas (imagem: Nandan Kumar)

IndiGo deveria ter criptografado os dados

Na tentativa de resolver um problema que o afetava diretamente, Nandan Kumar acabou descobrindo uma falha séria no site da IndiGo. Ao relatar a história no Twitter, o próprio engenheiro explicou que os dados trafegados no site deveriam ter sido criptografados.

Kumar tem razão. O PNR pode reunir muitos dados sobre uma pessoa e, portanto, o seu tratamento deve seguir princípios básicos de segurança, até porque a obtenção desse código não é difícil.

Pode acontecer, por exemplo, de um viajante divulgar as fotos de sua bagagem ou bilhete (o PNR também aparece na passagem) nas redes sociais sem se dar conta de que o seu código de identificação está aparecendo na imagem.

Os tweets de Kumar sobre o assunto tiveram uma repercussão relativamente grande, razão pela qual a companhia aérea usou o Twitter para afirmar que “seus processos de TI são completamente robustos e que em nenhum momento o site da IndiGo foi comprometido”.

De todo modo, a empresa prometeu analisar o caso. É de se esperar que isso inclua a revisão de seus procedimentos de atendimento: à BBC, a IndiGo explicou que tentou ligar para o seu cliente, mas as chamadas não foram atendidas. Só que parece que não foi assim.

Ainda no Twitter, Kumar relatou ter perguntado ao outro passageiro se ele havia recebido ligações da companhia aérea e a resposta foi negativa. Para o engenheiro de software, a IndiGo havia dito que tentou telefonar três vezes para o seu colega de voo.

Leia | Como rastrear voos online e em tempo real

Relacionados

Escrito por

Emerson Alecrim

Emerson Alecrim

Repórter

Emerson Alecrim cobre tecnologia desde 2001 e entrou para o Tecnoblog em 2013, se especializando na cobertura de temas como hardware, sistemas operacionais e negócios. Formado em ciência da computação, seguiu carreira em comunicação, sempre mantendo a tecnologia como base. Em 2022, foi reconhecido no Prêmio ESET de Segurança em Informação. Em 2023, foi reconhecido no Prêmio Especialistas, em eletroeletrônicos. Participa do Tecnocast, já passou pelo TechTudo e mantém o site Infowester.