CYBER NOTICIAS

Una vulnerabilidad en el Sistema Amadeus Reserva Vuelo afecta 141 aerolíneas


Una vulnerabilidad de seguridad importante que afecta a casi la mitad de todas las compañías aéreas de todo el mundo se acaba de descubrir por el investigador Noam Rotem.




El investigador se topó con la falla, mientras que reserva un vuelo con portadores nacional israelí EL AL Israel Airlines. La vulnerabilidad permite a cualquier persona acceder y manipular la información privada en relación con las reservas de vuelos, sólo mediante el uso de PNR de la víctima (Registro de nombres de los pasajeros) número.

Situado en la vulnerabilidad del sistema Amadeus Reserva Vuelo

La vulnerabilidad en cuestión se encuentra en el sistema de reserva de vuelo en línea populares desarrollada por Amadeus. La plataforma es utilizada por 141 líneas aéreas internacionales, tales como Lufthansa y Air Canada.

Relacionado: [wplinkpreview url =”https://sensorstechforum.com/delta-air-lines-phishing-email-downloads-hancitor-malware/”]Delta Air Lines El phishing de correo electrónico Descargas Hancitor malware

Mientras que reserva un vuelo con EL AL, Rotem recibió el siguiente enlace para comprobar su número de PNR: https://fly.elal.co.il/LOTS-OF-NUMBERS-HERE. Y ahí es donde el problema es: simplemente cambiando el RULE_SOURCE_1_ID, el investigador fue capaz de ver cualquier PNR y acceder al nombre del cliente y detalles de vuelo asociados, dijo en su informe, agregando que:

Con el PNR y el nombre del cliente a nuestra disposición, hemos sido capaces de iniciar sesión en el portal de clientes de EL AL (https://booking.elal.co.il/newBooking/changeOrderNewSite.jsp) y hacer cambios, reclamar millas de viajero frecuente a una cuenta personal, asignar asientos y comidas, y actualizar de correo electrónico y número de teléfono del cliente, que luego podría ser utilizado para cancelar la reserva de vuelo / cambio a través del servicio al cliente.

Cabe señalar que EL AL envía los códigos de PNR a través de correo electrónico sin cifrar, y algunos clientes incluso compartirlas en Facebook o Instagram. Sin embargo, eso ni siquiera es lo peor. El investigador descubrió que la plataforma Amadeus no tiene ninguna protección de fuerza bruta. Por lo tanto, era bastante fácil de encontrar los números aleatorios PNR de los clientes, y por tanto su información personal contenida dentro de.

El investigador y su equipo en contacto con EL AL inmediatamente para alertar sobre los hallazgos peligrosos, instando a ellas para hacer frente antes de que sea explotada por alguien con intenciones maliciosas. Rotem llegó a proponer varias soluciones, como "detener la vulnerabilidad mediante la introducción de captchas, contraseñas (en lugar de un código de PNR de 6 caracteres), y un mecanismo de protección bot, con el fin de evitar el uso de un enfoque de fuerza bruta".

Milena Dimitrova

Milena Dimitrova

Un escritor inspirado y gestor de contenidos que ha estado con SensorsTechForum desde el comienzo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Se agotó el tiempo límite. Vuelve a cargar de CAPTCHA.

Compartir en Facebook Compartir
Cargando ...
Compartir en Twitter Pío
Cargando ...
Compartir en Google Plus Compartir
Cargando ...
Compartir en Linkedin Compartir
Cargando ...
Compartir en Digg Compartir
Compartir en Reddit Compartir
Cargando ...
Compartir en Stumbleupon Compartir
Cargando ...