Publicado hace 5 años por Atomarporculoelmundo a mecagoenlos.com

En un momento de aburrimiento en el aeropuerto de Keflavik esperando para embarcar en el avión de vuelta a España enseñé a mi hermana cómo funcionaba Google Assistant en el móvil, así que solté el típico "Ok Google" y seguido le pregunté "¿Cuándo es mi próximo vuelo?". Además de la información de mi vuelo, Google me mostró los nombres de los pasajeros para los que yo saqué los billetes, hasta aquí todo normal, pero SORPRESA... también me mostró los nombres y apellidos de OTROS PASAJEROS completamente ajenos a mi

Comentarios

eltoloco

#2 está claro, pero una cosa es regalarle tus datos a Google voluntariamente y otra muy distinta es que Google te de los datos de otras personas a ti, lo cual obviamente es un fallo del software además de ilegal.

D

Hola #8 te presento a #2. Creo que sois la pareja ideal

A

#5 ¿queda mucho para el vuelo? posiblemente tendrá que coincidir que alguien más tenga Assistant instalado, ¿no?. Si viajas con alguien conocido pregúntale si lo tienen activo.

W

#6 Pues una semana mas o menos, salen los tres que estabamos en el billete. No conozco a nadie que haya pillado el mismo billete.
La pantalla que tengo yo para google assistant es un poco diferente a la mía.
De todas maneras a mi me huele a fake o a error del usuario.

ChukNorris

Parece que tienen el mismo número de confirmación todos esos pasajeros.

Google probablemente busque en varias cuentas (por si el usuario tiene más de una) y haya mostrado todas las que tienen ese mismo número.

* Estaría bien que el usuario revisase su tarjeta de crédito, no vaya a haber "comprado" también ese asiento de otro pasajero.

W

#7 mismo numero de confirmación..... o error de la compañía, o de la agencia de viaje, o fake, o cagada a la hora de comprar el billete. Además los nombres de los otros son falsos o pruebas....

TiJamásLlevaTilde

#7 Yo también me he fijado en el mismo número de reserva. En esa captura queda claro que es el filtro. En este caso igual el fallo es de la aerolínea que no ha usado un número de reserva único (con la liada que ello representa).

A

#15 ¿Tantos pasajeros con el mismo número de reserva? algo habría saltado en el checking ¿no? también me fijé pero cómo no hay datos del número de reserva que tenían los otros pasajeros no sé si eso lo ha pintado Google o cómo decís es la aerolínea, no sé qué sería más raro...

W

#17 Y que me dices de un asiento para "Mónica, Sonia y Miguel" !!!!???

A

#24 o el pasajero número 9, "cambio de día" vete tú a saber

Gonzo345

#15 Que se repita un mismo número de reserva en mismo vuelo es bastante imposible la verdad...

TiJamásLlevaTilde

#25 Debería ser único sí o sí, pero en informática yo ya no doy nada por imposible. El tiempo me ha hecho ver cosas que no creerías.

Gonzo345

#26 haha, si te creo, y además en ambos aspectos (informática y aerolíneas) lo manejo muy de primera mano

ChukNorris

#15 De la compañia aérea no tiene por qué ser error (salvo que los datos de reserva sean públicos y google tenga acceso a ellos), es su sistema de confirmación y se lo follan como quieren, el error en tal caso sería de Google que parece que lo utilizaría de filtro para buscar entre los correos de todas las personas pensando que es un valor único.

M

#15 #35 #37 Los nombres de los pasajeros vienen en el correo de confirmación que la aerolínea manda a tu buzón de gmail, así que es de suponer, es lo más lógico, que google coge esos nombres, junto a todos los demás datos, de tu buzón de correo, por tanto daría igual qué número de reserva tengas porque el agente diferenciador es tu buzón de correo.

Si en tu buzón de correo tienes un email que pone que fulano y mengano viajan, el asistente te saca que fulano y mengano viajan, y perico de los palotes, aunque tenga el mismo número de reserva, no sale en tu asistente porque el correo de perico no está en tu buzón sino en el suyo.

Si resulta que el sistema de Google lo que en realidad hace es coger tu identificador y con él entrar en tu área privada de la aerolínea para extraer datos de ahí, el problema está en que Google hace algo indebido porque de ninguna manera debería entrar en tu área privada de la aerolínea. Los datos sobre horas del vuelo, retraso, etc. son públicos pero los detalles de tu billete no, eso es un apartado privado en la web de la aerolínea y Google no debe husmear ahí, Google solo debería extraer esos datos de tu buzón de Gmail, nada más.

demostenes

#40 Pues no. Con el identificador y un apellido en la mano, los datos personales son de libre acceso. Eso ocurre en cualquier aerolínea.
Google Assistant lo que hace es automatizar el proceso por tí, de la misma forma que presenta en el buscador datos extraidos de la Wikipedia.
Aquí la responsabilidad es de quien ha reservado los billetes con el mismo identificador a diferentes clientes. Y repito que es una mala práctica de las agencias de viajes.

M

#42 Sí, y tu nombre de usuario junto con tu contraseña hacen pública tu cuenta de menéame pero en realidad tu cuenta de menéame es privada.

El identificador y el apellido asociado a él no son públicos, son privados, los sabes solo tú. Y las aerolíneas, muchas, ya te piden más datos que el identificador y apellido para no hacer tan fácil el acceso a esos datos privados.

Si esos datos fuesen públicos, no tendrías que introducir identificador ni nada, simplemente se listarían en una página asociada al vuelo y a correr.

Google no debe entrar en tu apartado privado de la aerolínea y se debe limitar a extraer solo los datos de tu email.

A

#43 exacto, y además los billetes los saque en la web de Norwegian y xomo correo de contacto mi correo de gmail.

Lo que creo relevante es que cruce datos obtenidos en diferentes cuenta de correo, la mia y la de la y tal Mónica por lo menos.

1. Yo compro billetes a través de la web de norwegian

2. Google ve que tengo un mail con remitente conocido e identificado como aerolínea y obtiene del mail los datos significativos

3. Google hace esto con todos los usuarios que tengan habilitado Google assistant, por ejemplo Mónica o yo mismo.

4. Al haber un número que en a mayoría de las compañías aeras es único, google toma este número como identificador del conjunto de billetes adquiridos por el usuario.

5. Cuando le pregunto por mi vuelo busca los datos de los pasajeros asociados a ese número, independientemente de la cuenta de correo de la que los ha extraído.

Y aquí es cuando cruza datos de dos cuentas de correo difirentes. Yo creo que es lo que ha ocurrido. E independientemente del identificador de vuelo, deberia aislar los datos obtenidos de dos correos diferentes

demostenes

#43 A ver, voy a explicarte la diferencia entre un identificador, un apellido y una contraseña.
Los documentos, las páginas web, los email no muestran contraseñas. Nunca. Es una práctica insegura y prohibida por la RGPD.
En cambio sí que listan identificadores (en hojas de reserva impresas, en páginas web, etc) y sí que listan apellidos.
Tu nunca podrás encontrar una contraseña buscando por Google ( y si lo haces quien la pública sí que está infringiendo la RGPD)
Pero podrás encontrar apellidos . Y los identificadores de vuelo no son contraseñas, son identificadores, igual que el NIF o un nº de contrato, imprimibles y listables en documentos o informes.
En este caso concreto vuelvo a repetir que la reserva ha usado un mismo identificador para varios clientes y el responsable de este cruce de datos es quien ha hecho la reserva, no Google que simplemente muestra los datos.
No hay que culpar al mensajero.

M

#45 Muy bien. Ahora voy a explicarte yo la diferencia entre datos privados, contraseñas y datos públicos y por qué la culpa es de Google.

Los datos privados son aquellos que deben ser conocidos solo por ti y por las personas autorizadas, nadie más y aunque te los envíen por correo, que también es privado, no se listan en ningún sitio público, de libre acceso.

Datos privados son, por ejemplo, tu historial médico que es conocido por ti y también por tus médicos. Son también tus datos en hacienda que los conoces tú y los técnicos de hacienda, pero nadie más, no aparecen en ningún sito.

Contraseñas: Las contraseñas son datos privados pero de otro carácter. Una contraseña solo la conoces tú, nadie más, ni siquiera el administrador del sistema debería conocer tu contraseña porque esta debería estar hasheada. A diferencia de los datos privados, las contraseñas solo las conoces tú, nadie más, y ni siquiera se guardan sino que se guardan los hashes, y ese es uno de los motivos de por qué no te las envían por correo.

¿por qué nadie excepto tú debería conocer tus contraseñas? pues un motivo es que aunque los técnicos de hacienda puedan ver tus datos privados, cuando ellos ven tus datos, están entrando en el sistema usando su contraseña, no la tuya, y si un técnico hace algo mal, en el sistema está registrado que el técnico X entró en la ficha de Fulano y se sabe que el culpable es el técnico. Si conociese tu contraseña, el técnico entraría en tu ficha como si fuese tú, la liaría parda y técnicamente el culpable serías tú, porque usó tu contraseña y eso es como si fueses tú.

Datos públicos: Los datos públicos son esos de libre acceso publicados en una web a la vista de cualquiera sin ninguna restricción especial.

Tus comentarios aquí en menéame son datos públicos que todo el mundo puede leer, pero tu email es un dato privado que solo tú y los administradores conocen, y la contraseña... tu contraseña es especial, solo tú la conoces, ni siquiera los administradores de Meneame la saben.

El horario de vuelo, el estado del vuelo, es público, entras en la web de la compañía y en AENA y puedes verlo. El identificador de vuelo y el apellido asociado a él es un dato privado, te lo mandan a ti por correo y solo tú y la gente autorizada lo debería conocer. Tu apartado dentro de la página de la compañía también es un apartado privado.

¿está claro? Pues bien, ahora que sabes las diferencias, expliquemos por qué es culpa de Google:

Para que Google pudiese conocer esos datos tuvo que hacer una de las dos cosas:

1. Coger un identificador y un apellido o email asociado a él y entrar en el área privada del pasajero en la aerolínea para extraer todos los datos de los demás pasajeros que figuran en ese área privada. Improbable pero tenía capacidad para hacerlo.

2. Coger un identificador de vuelo, usarlo como marcador único y cruzar los datos de distintos buzones de correo para recopilar todos los pasajeros asociados a ese identificador. Lo más probable.

¿por qué la culpa es de Google?:

Caso 1: Google jamás debe entrar en un área privada aunque tenga todos los datos para hacerlo. Fin.

Caso 2: Lo que hizo Google fue cruzar datos de distintas cuentas y además de distintas personas que ni se conocen y eso no puede hacerlo, Google no puede cruzar datos de distintos buzones, relacionar personas y mostrar esos datos de todos esos buzones a una de las personas.

Google Asisstant funciona asociado a una cuenta de Google, por tanto Google Asistant solo debe mostrar los datos que extrae del buzón de correo de esa cuenta. Google Asisstant no puede cruzar datos de distintos buzones y mostrarlos a una persona incluso aunque todos esos buzones pertenezcan a la misma persona. Tan solo debe mostrar datos de distintos buzones cuando tú en el teléfono tienes logueados dichos buzones. Hacer otra cosa es negligencia.

demostenes

#46 Tu perorata se basa en una premisa: El lugar donde se consulta la lista de pasajeros de un vuelo es un área privada.
Yo te digo que no, que es un área pública consultable mediante dos datos : identificador y apellidos.
Un área privada SOLO es accesible mediante el par usuario/ contraseña. Pero un área accesible mediante datos imprimibles nunca es privada.
Un auxiliar de vuelo en aeropuerto mediante el identificador y el apellido (dos datos a los que tiene acceso porque están en el billete) puede acceder a la lista de pasajeros. Pero en el billete nunca se imprimira una contraseña de acceso a área privada con datos privados de un cliente.
Así no nos pondremos de acuerdo nunca.

M

#47 no nos ponemos de acuerdo porque tu estas equivocado.

No, un area privada no es exclusivamente aquello que se accede mediante un par usuario contraseña. Para empezar, el usuario se puede omitir y requerir solo la contraseña, o simplemente un identificador secreto en una cookie, o una huella dactilar, asi que tu argumento se cae.

Pero diciendo la verdad, un area privada es aquella que no es de libre acceso publico por cualquiera sin ningun requerimiento especial, ya se requiera un par usuario contraseña u otro dato en posesion tan solo del usuario y de las personas pertinentes, y su contenido es para el usuario y las personas pertinentes, nadie mas.

Si ese area fuese publica, tu podrias consultar el listado de gente de cada vuelo de la misma forma que consultas su horario.

Porque manda cojones que me digas que el lugar donde yo puedo modificar MI vuelo o incluso cancelarlo. Cuantas maletas llevo y todos los datos de facturacion, nombres, apellidos, DNI, etc. El lugar donde esta mi telefono y la direccion de mi domicilio, es un area publica. Manda cojones.

demostenes

#48 Es una área no restringida porque así lo quiere la aerolínea. En realidad debería de accederse con un usuario/contraseña. Pero se usa el sistema de identificadores para más comodidad. Por desgracia la comodidad siempre implica inseguridad.

M

#50 y supongo que mi apartado en hacienda tambien es un area no restringida, porque no tiene usuario y contraseña.

Y las zonas donde se accede con huella dactilar tambien son zonas no restringidas, porque no tienen usuario y contraseña.

Y las salas restringidas del aeropuerto en donde solo entra el personal con una tarjeta, tambien son areas no restringidas porque no tienen usuario y contraseña, tan solo una tarjeta.

Muy bien, pues nada mas que decir.

Oye, y cuando me registro con usuario y contraseña en la web de la aerolinea ¿Esa zona ya es un area restringida? Curioso.

M

#50 segundo comentario, otra vez, pero: las contraseñas normalmente no se envian al correo pero si el enlace de recuperacion con el que se puede acceder a la cuenta igualmente si tienes acceso al correo. Cambias la contraseña a traves del enlace y listo. Google gracias a gmail podria entrar en mi area privada protegida con contraseña.

Entonces podemos concluir que ni siquira cuando el portal tiene usuario y contraseña es una zona restringida??

M

#47 Perdón por el segundo comentario pero he aquí otro ejemplo: Para acceder a tu declaración de la renta lo puedes hacer con tu DNI, fecha de caducidad y el valor de la casilla 450, todos datos impresos en papel y que se los das a otras personas, por ejemplo, el DNI cuando te tienes que identificar se lo das a la otra persona.

Dime, el área de mi renta ¿también es una zona pública o es privada?

https://www2.agenciatributaria.gob.es/static_files/common/dep/aplicaciones/dare/html/dabjObtRef.html

D

#7 sí, está bastante claro que la aerolínea o el sistema que gestionara la reserva añadió toda esa información bajo el mismo número de reserva, como se ve en la captura. Pero en Menéame es más fácil sacar las antorchas y los tridentes, oe oe oe.

D

probado. Vuelo hoy. No, no salen más nombres que los que yo he comprado (es que además sería ridículo).

A

#30 pues ya sois unos cuantos así que igual es cosa de la aerolínea, aun así, me repito jeje, ¿es normal que muestre datos de otras personas no sacados de mi correo personal? porque esos nombres no han llegado a mi email

D

#33 me temo que es simplemente un error de assistent. Ha asumido esos otros pasajeros tomándolos de cualquier fuente de datos errónea (quizás una de ejemplo de algun portal). Si te fijas, incluso el último pasajero se llama "cambio del día".

CReo que no hay más

P

#33 Pregunta en el vuelo QUIEN ES MONICA Y MIGUEL? wsi tienen google asistan saldrás de dudas.

De todos modos veo cosas raras como lo del número d ereserva y que los nombres están en minúsculas y que no hay / en la línea...


Puede que sea de test? de ejemplo? busca los nombres completos en Facebook y a ver si en el vuelo les ves.

Yo no creoq ue google almacene el número de reserva y te muestre todo lo que tiene sobre él. Me parece imposible.

Además: Mónica sale dos veces.

D

No se exactamente cómo obtiene y procesa Google los datos, pero dudo que la companía envíe a Google los datos de todos los pasajeros para sea Google quién decida qué mostrara a quién. Solo me cuadra una de dos

a) Todos esos datos son públicos y accesibles de alguna forma
b) La información se saca de un email, tarjetas de embarque o cualquier fuente del propio usuario y el fallo de privacidad viene por otro lado.

No seré yo quien defienda a Google ni su filosofía de no-privacidad, pero me parece que en este caso es sólo el mensajero.

Sería interesante saber más.

D

#3 Ahora bien, si Google cruza todos los datos que obtiene de todos los emails de todos los pasajeros, sin cifrar, y muestra lo que le parece, sería una metedura de pata monumental.

avalancha971

#4 Eso creo yo, que esos datos los ha obtenido Google por el hecho de que dichos pasajeros tambien son usuarios de Google.

M

#3 los datos salen de tu correo en donde la compañia te envio los detalles de tu vuelo.

eltoloco

#3 como dice #10, los datos los obtiene de tu email. Cuando haces una reserva. la compañía aérea envía un resumen de la reserva a tu email, y, en el caso de que sea Gmail, Google lo lee para proporcionarte esta información, añadir un evento a la agenda, avisarte si se retrasa, etc.

Imagino que las terceras personas de las cuales da los datos también usan Gmail, y hay un fallo en la comprobación de quienes son los acompañantes de quien hace la consulta al asistente, y por ello incluye a extraños.

Desde el punto de vista del programador, es un fallo muy tonto, de novatos. Por lo que se solucionará muy fácilmente. Desde el punto de vista de la seguridad es muy grave, porque da información de terceros que en ningún caso debería dar.

La compañía aérea no tiene nada que ver en esto.

W

#18 Dudo que alguien haya reservado un asiento para alguien llamado "Mónica,Sonia y Miguel" tiene pinta de ser algo del propio usuario (por alguna reserva erronea o un bloqueo), o un fake, no descartemos eso. Nadie mas ha reportado eso, yo lo he probado y no sale nada raro, además la pantalla que me sale es diferente a la suya.

eltoloco

#19 pues si, ni me he fijado en eso. Mis suposiciones se basan en que el fallo es cierto.

A

#19 no sé para qué voy a enviar un fake.... estás en "modo paranoia = on"

D

Estas cosas vienen muy bien para ligar:

- ¡Ay! Cari, que de tiempo que no te veía. Si, Paco, no te acuerdas de mi? Claro, tu eres Paco Montes verdad? Si, de aquella fiesta, hombre, cómo no te vas a acordar?

D

Google Assistant es un fallo de privacidad en sí mismo por definición, como todos los asistentes.

M

#8 es dificil hacer un asistente que funcione sin saber nada de ti.

Dikastis

#13 Obvio, en ese caso sería un asistonto.. badum tsss
lol

demostenes

Es muy habitual que una agencia de viajes realice una reserva para varios clientes diferentes usando el mismo identificador.
A mi me pasó eso mismo: me reservaron un vuelo con Lufthansa y entrando en la web de Lufthansa con ese identificador podía cambiar el asiento de otros pasajeros.
Distinto es si realizas la reserva directamente con la aerolínea: el identificador debería ser diferente para cada cliente.

Elanor

Si esta persona compró los billetes a través de una agencia, ahi se explicaría el porqué. Normalmente la agencia de viajes espera a tener varias personas con el mismo trayecto y hace una compra en bloque de todos, para quie salga más barato. De ahí que haya más personas en el mismo localizador.

A

Aunque el número de reserva coincida y sea fallo de norwegian, ¿es lógico que Google cruce datos de cuentas de correo diferentes? por mucho que crea que somos el mismo grupo de personas yo creo que no debería, no?

garfius1

Te has ganado un gallifante.

Reportalo a gugel , porfaplis.

kiko_168

Existe una voluntad que insta a que lo almacenemos todo en internet. Cada vez discrepo más.

JMorell

Los datos del vuelo los sacará de una API publica de la compañía de viajes, Google no tiene esa información. Incluso el tiempo lo saca de una API externa.

k

No creo que sea ningún fallo de seguridad. Tiene pinta de que es una reserva de grupo y estáis varias personas dentro del mismo PNR. Este tipo de reservas son muy comunes en el turismo estival.