Una grave serie di vulnerabilità individuate nei sistemi di Frontier Airlines ha esposto per oltre cento giorni dati altamente sensibili dei passeggeri attraverso meccanismi di accesso estremamente semplici. Secondo le informazioni rese pubbliche il 16 giugno 2026, chiunque sia in possesso di un normale boarding pass può ottenere informazioni personali dettagliate utilizzando esclusivamente il codice PNR e il cognome del viaggiatore. Le falle interessano sia l’applicazione mobile sia il portale web della compagnia e consentono di accedere a indirizzi di residenza, numeri di telefono, email, dati dei passaporti, informazioni relative al programma TSA PreCheck, dettagli delle carte di pagamento e cronologie complete delle prenotazioni. Il caso rappresenta uno degli esempi più significativi degli ultimi anni di esposizione massiva di dati personali all’interno del settore dell’aviazione civile e solleva interrogativi sulla protezione delle informazioni dei passeggeri e sulla gestione responsabile delle segnalazioni di sicurezza.
Cosa leggere
Un semplice boarding pass apre l’accesso ai dati riservati
L’aspetto più preoccupante della vulnerabilità riguarda la semplicità dell’attacco. Per accedere alle informazioni non è necessario compromettere account, aggirare sistemi di autenticazione o sfruttare vulnerabilità complesse. È sufficiente conoscere il Passenger Name Record (PNR) e il cognome associato alla prenotazione. Entrambi i dati sono normalmente presenti sul boarding pass cartaceo e digitale utilizzato quotidianamente dai viaggiatori. Inoltre, tali informazioni sono contenute anche all’interno del codice a barre BCBP (Bar Coded Boarding Pass) definito dagli standard IATA, leggibile con numerose applicazioni disponibili gratuitamente per smartphone. Questo significa che una fotografia pubblicata sui social network, un documento smarrito o un boarding pass gettato nella spazzatura possono diventare strumenti sufficienti per ottenere accesso a una grande quantità di dati personali.
L’API mobile restituisce l’intera prenotazione interna
La scoperta è avvenuta analizzando un boarding pass reso pubblicamente disponibile. Utilizzando il PNR e il cognome associato, il ricercatore ha interrogato direttamente un endpoint dell’applicazione mobile di Frontier Airlines. La risposta dell’API non si limitava alle informazioni necessarie per consultare il viaggio, ma restituiva l’intero oggetto JSON interno della prenotazione. All’interno della risposta comparivano numerosi campi sensibili normalmente destinati esclusivamente ai sistemi interni della compagnia aerea. Tra questi figuravano indirizzi completi di residenza, recapiti telefonici, email, dati anagrafici completi, informazioni di viaggio e dettagli relativi ai documenti di identità. L’assenza di controlli aggiuntivi di autenticazione ha trasformato un semplice servizio di consultazione in un meccanismo di esposizione massiva delle informazioni personali.
Il sito web replica la stessa esposizione di dati
Le problematiche non si limitano all’applicazione mobile. L’analisi del sito web ha evidenziato ulteriori punti di esposizione che permettono di recuperare informazioni analoghe. Alcuni dati risultano incorporati direttamente nel codice sorgente HTML attraverso variabili JavaScript accessibili dal browser. Anche la pagina dedicata alla modifica dei passeggeri contiene campi precompilati e blob JSON che includono informazioni sensibili complete. Tra i dati visibili figurano numeri di passaporto, date di scadenza dei documenti, nazionalità, dati anagrafici completi e identificativi associati ai programmi fedeltà. Questo approccio viola principi fondamentali di minimizzazione dei dati e aumenta significativamente la superficie di esposizione delle informazioni personali dei clienti.
Passaporti, dati anagrafici e informazioni dei minori risultano accessibili
La quantità di dati esposti è particolarmente ampia. Gli attaccanti possono visualizzare l’indirizzo completo di residenza, inclusi via, città, stato e codice postale. Sono accessibili email e numeri di telefono senza alcun tipo di mascheramento. La vulnerabilità coinvolge anche informazioni relative ai minori presenti nelle prenotazioni. Nome completo, data di nascita, genere e altre informazioni personali dei bambini risultano infatti visibili insieme a quelle degli adulti.
Ancora più grave è l’esposizione dei dati dei passaporti. Il sistema restituisce il numero completo del documento, il paese di emissione, la nazionalità del viaggiatore e la data di scadenza. Informazioni di questo tipo sono particolarmente preziose per criminali informatici interessati a furti di identità, frodi documentali e campagne di phishing altamente mirate.
Il Known Traveler Number aumenta i rischi per la sicurezza aeroportuale
Tra i dati esposti figura anche il Known Traveler Number (KTN) associato al programma TSA PreCheck, il sistema statunitense che consente ai viaggiatori verificati di accedere a corsie di sicurezza accelerate negli aeroporti. La divulgazione di questo identificativo rappresenta un problema significativo perché le linee guida della Transportation Security Administration raccomandano espressamente di non memorizzare tali dati in contesti facilmente accessibili. Un attaccante in possesso di queste informazioni potrebbe tentare di sfruttarle per aggirare controlli o costruire attacchi di impersonificazione più credibili. La presenza del KTN tra i dati esposti dimostra come il problema non riguardi soltanto la privacy ma anche aspetti direttamente collegati alla sicurezza aeroportuale.
I dettagli delle carte di pagamento amplificano il rischio di frode
La vulnerabilità coinvolge anche informazioni relative ai pagamenti effettuati dai passeggeri. Sebbene i numeri completi delle carte di credito non risultino esposti, l’API restituisce una combinazione di dati particolarmente utile per attività fraudolente. Gli aggressori possono visualizzare il BIN della carta, le ultime quattro cifre, il nome del titolare, la data di scadenza, l’indirizzo di fatturazione completo, l’indirizzo IP utilizzato durante il pagamento e i codici di autorizzazione associati alle transazioni. È inoltre disponibile la cronologia completa dei pagamenti effettuati, con importi dettagliati e informazioni operative. Questa combinazione di elementi può facilitare attacchi di frode finanziaria, social engineering e tentativi di aggiramento dei sistemi di verifica delle transazioni.
I commenti interni e la cronologia delle comunicazioni completano il profilo della vittima
Tra le informazioni accessibili figurano anche elementi normalmente destinati esclusivamente agli operatori interni della compagnia aerea. Le prenotazioni contengono infatti commenti di sistema, cronologie delle notifiche inviate e dettagli relativi alle comunicazioni effettuate via email o SMS. Questi dati consentono a un aggressore di ricostruire con precisione le interazioni tra il passeggero e la compagnia aerea. La disponibilità di tali informazioni aumenta ulteriormente l’efficacia di campagne di phishing e truffe mirate, poiché permette di creare comunicazioni estremamente convincenti utilizzando dettagli reali relativi ai viaggi effettuati dalla vittima.
Oltre cento giorni senza una correzione completa
Le vulnerabilità sono state segnalate alla compagnia il 3 marzo 2026. Nei mesi successivi il ricercatore ha inviato ulteriori comunicazioni tecniche descrivendo in dettaglio la catena di attacco e i dati coinvolti. Frontier Airlines ha corretto soltanto una vulnerabilità secondaria che permetteva l’enumerazione automatica dei codici PNR. Le esposizioni più gravi sono invece rimaste attive per oltre 105 giorni. Dopo il superamento dei termini di disclosure responsabile, il 16 giugno 2026 il problema è stato reso pubblico. Secondo quanto riportato dal ricercatore, l’unica risposta concreta ricevuta dalla compagnia sarebbe stata l’invio di un modellino di aeroplano come riconoscimento della segnalazione. Al momento della pubblicazione non risultavano comunicazioni ufficiali dettagliate da parte dell’azienda sulle misure adottate per affrontare il problema.
Il caso evidenzia criticità diffuse nel settore aereo
L’incidente mette in evidenza una problematica più ampia che riguarda l’intero settore dell’aviazione. I boarding pass sono progettati per essere facilmente leggibili dagli operatori aeroportuali e dai sistemi automatizzati. Tuttavia, quando applicazioni e portali web utilizzano il PNR come principale chiave di accesso senza implementare controlli di autenticazione adeguati, tali documenti diventano di fatto credenziali di accesso. Il formato BCBP definito da IATA contiene inevitabilmente informazioni che possono essere lette da chiunque disponga di strumenti di scansione basilari. Per questo motivo le compagnie aeree devono implementare livelli aggiuntivi di protezione, evitando che la semplice conoscenza di un codice di prenotazione permetta l’accesso a dati sensibili.
Privacy, PCI-DSS e protezione dei passeggeri
Le vulnerabilità individuate sollevano interrogativi importanti anche sul fronte normativo. La presenza di dati di pagamento dettagliati richiama direttamente i requisiti dello standard PCI-DSS, mentre l’esposizione di informazioni personali e documenti di identità potrebbe avere implicazioni rilevanti sotto il profilo della protezione dei dati. Per i passeggeri interessati il rischio non termina con la pubblicazione della vulnerabilità. Chi ha viaggiato con Frontier Airlines negli ultimi mesi dovrebbe monitorare attentamente i propri account, verificare eventuali attività sospette e prestare particolare attenzione a email o messaggi che utilizzino dettagli realistici relativi ai propri viaggi. Il caso dimostra ancora una volta come una vulnerabilità apparentemente semplice possa trasformarsi in una delle più estese esposizioni di dati personali all’interno dell’industria del trasporto aereo.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
