Facebook Linkedin Twitter Instagram Youtube Telegram

Un defecto en el sistema de reserva de vuelos afecta a clientes de 141 aerolíneas de todo el mundo

La brecha ha sido publicada por el diario The Hacker News y publicada en la web del Centro Criptológico Nacional.

Casi la mitad de los vuelos del mundo fueron expuestos a una vulnerabilidad de seguridad crítica descubierta en el sistema de reserva de billetes de avión en línea. Noam Rotem, investigador israelí de seguridad de redes, descubrió la vulnerabilidad, que permitía a los hackers acceder en remoto y modificar sus detalles de viaje, mientras reservaba un vuelo en la aerolínea israelí ELAL.

La vulnerabilidad residía en el sistema de reservas de vuelos en línea, ampliamente utilizado, desarrollado por Amadeus, que actualmente utilizan cerca de 141 aerolíneas internacionales. Después de reservar un vuelo, el viajero recibe un número de PNR y un enlace único que permite a los clientes comprobar el estado de su reserva y la información relacionada con ese PNR.

Según informa The Hacker News, Rotem descubrió que, simplemente cambiando el valor del parámetro «RULE_SOURCE_1_ID» en ese enlace al número PNR de otra persona, se mostraba información personal y relacionada con la reserva de la cuenta asociada con ese cliente.

Utilizando la información revelada, es decir, la identificación de la reserva y el apellido del cliente, un atacante puede simplemente acceder a la cuenta de la víctima en el portal del cliente y «hacer cambios, reclamar millas de viajero frecuente a una cuenta personal, asignar asientos y comidas, y actualizar el correo electrónico y el número de teléfono del cliente, lo que podría utilizarse para cancelar/cambiar la reserva de vuelos a través del servicio de atención al cliente«.

Picture of Vicente Ramírez

Vicente Ramírez

Graduado en Administración y Dirección de empresas, especializado en Marketing, Comunicación, Ciberderecho y Gestión de Riesgos para Ciberseguros. Director de Marketing en CyberSecurity News, Organizador de CISO Day 2019 y Administrador del grupo de LinkedIn "Eventos de Ciberseguridad España"

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.