Un ingeniero de software logró acceder a la base de datos de la página web de una aerolínea de la India para recuperar su equipaje extraviado.
Nadan Kumar, de 28 años, ingresó a la base de datos de la compañía aérea IndiGo y encontró los detalles de contacto de un pasajero que había tomado su equipaje por error.
El hombre compartió su hazaña en su cuenta de Twitter y se volvió rápidamente viral, tras explotar una “vulnerabilidad técnica” en el sistema de la aerolínea.
Kumar escribió que comenzó por comunicarse con el servicio de atención al cliente de la compañía, para solicitar el número de teléfono o el correo electrónico del otro pasajero, pero le informaron que no se podían revelar datos personales de otros clientes.
“Ni siquiera el equipo de atención al cliente pudo darme los datos de contacto de la persona, alegando protección de datos y privacidad”, escribió. Agregó que el empleado que lo atendió le había asegurado que le devolverían la llamada, lo cual no sucedió.
Ante la falta de respuesta, Kumar decidió poner manos a la obra por sí mismo y, usando el número de registro del nombre del otro pasajero (PNR, por sus siglas en inglés), asentado en la tarjeta de embarque que también por error había sido intercambiada con la suya, pudo acceder a los datos de la reserva que estaban en la base de datos del sitio web de la aerolínea.
So now, after all the failed attempts, my dev instinct kicked in and I pressed the F12 button on my computer keyboard and opened the developer console on the @IndiGo6E website and started the whole checkin flow with network log record on.
9/n— Nandan kumar (@_sirius93_) March 28, 2022
“Después que todos los intentos fallaron, mi instinto de desarrollador se activó y presioné F12 en el teclado de mi computadora, abrí la consola de desarrollador desde la página web de IndiGo y comencé el flujo de verificación con el registro de la red activado”, escribió.
Fue entonces cuando encontró el número de teléfono y el correo electrónico del pasajero con quien se había intercambiado involuntariamente el equipaje. “Ah, ese fue mi momento de hacker discreto”, agregó.
Con el número de teléfono, el ingeniero se puso en contacto con el dueño de la maleta que había recibido y los dos acordaron encontrarse para intercambiar sus pertenencias.
Kumar concluyó su hilo de tuits con algunas sugerencias para la compañía aérea, incluida una atención al cliente más proactiva.
“Estimado IndiGo6E, tome nota:
*Arregle su IVR y hágalo más fácil de usar
*Haga que su servicio al cliente sea más proactivo que reactivo
*Su sitio web filtra datos confidenciales, arréglelo”, escribió.
Por su parte, IndiGo afirmó en un comunicado que “el equipo de atención al cliente siguió el protocolo al no compartir los datos de contacto del cliente con otro pasajero”, y sostuvo que hubo intentos de “facilitar el intercambio de equipaje, pero que no pudieron llegar a buen término debido a que las llamadas telefónicas quedaron sin respuesta”.
Además, agregó que sus “procesos de TI son completamente sólidos” y garantiza que “en ningún momento la pagina web se vio comprometida”.