Gran agujero en la seguridad de datos de pasajeros
Gran agujero en la seguridad de datos de pasajeros
Un investigador de seguridad de la empresa Safety Detective, ha encontrado una brecha de seguridad que ha afectado a más de 140 aerolíneas en todo el mundo. En concreto, el fallo de seguridad se encontraba en el sistema de reservas de viajes, y el error ya ha sido subsanado.
La empresa en cuestión es una de las principales empresas proveedoras de soluciones tecnológicas para el sector turístico. En la actualidad, el sistema de reservas de vuelos online de la compañía lo utilizan un total de 141 líneas aéreas internacionales, por ello controla más del 44% del mercado global de las reservas online.
De acuerdo con el informe de Safety Detective, el fallo de seguridad fue localizado al realizar una reserva de un vuelo con unaa aerolínea de Israel. Los investigadores se dieron cuenta de que, al cambiar un dato de forma sencilla en el enlace que les llegó por correo electrónico para consultar el PNR (Passenger Name Record, el localizador de las reservas de avión), un usuario malintencionado podía tener acceso a los nombres de los pasajeros y a los datos de vuelo asociados.
Después, utilizando el nombre del cliente y el PNR, el equipo consiguió iniciar sesión en el portal de clientes de la aerolínea, lo que les daba acceso a todos sus datos personales y les daba la posibilidad de efectuar todo tipo de cambios en las reservas.
Tras llevar a cabo estos hallazgos, Safety Detective se puso en contacto con las empresas afectadas para informarles de la vulnerabilidad y sugerirles algunas soluciones para mitigarla, como el uso de captchas y contraseñas para reemplazar los códigos PNR o un algoritmo para bloquear scripts de fuerza bruta.
El fallo de seguridad ya está resuelto, por lo que la vulnerabilidad ya no puede ser explotada. «Nuestros equipos técnicos tomaron medidas inmediatas y ahora podemos confirmar que el problema está resuelto», afirma la empresa en un comunicado. «Para fortalecer aún más la seguridad, hemos añadido una PTR de recuperación para evitar que un usuario malintencionado acceda a la información personal de los viajeros».