Un aerolínea dejando todos sus registros de viaje de sus pasajeros vulnerables a hackers Sería un objetivo atractivo para el espionaje. Menos obvio, pero quizás aún más útil para esos espías, sería el acceso a un servicio de viaje premium que abarca 10 aerolíneas diferentes, dejó su propia información detallada de vuelo accesible para los ladrones de datos y parece ser favorecido por diplomáticos internacionales.
Ese es lo que un equipo de investigadores de seguridad cibernética encontró en forma de Airporttr, un servicio de equipaje con sede en el Reino Unido que se asocia con aerolíneas para permitir que sus usuarios en gran medida con sede en el Reino Unido y Europa pagen para que sus bolsas sean recogidas, revisadas y entregadas a su destino. Los investigadores de la firma CyberX9 descubrieron que los errores simples en el sitio web de Airportr les permitieron acceder a prácticamente la información personal de esos usuarios, incluidos los planes de viaje, o incluso obtener privilegios de administrador que habrían permitido a un hacker redirigir o robar equipaje en tránsito. Incluso entre la pequeña muestra de datos de usuarios que los investigadores revisaron y compartieron con Wired, encontraron lo que parece ser la información personal y los registros de viajes de múltiples funcionarios y diplomáticos del gobierno del Reino Unido, Suiza y los Estados Unidos.
«Cualquiera habría podido ganar o podría haber obtenido acceso absoluto súper administrativo a todas las operaciones y datos de esta compañía», dice Himanshu Pathak, fundador y CEO de CyberX9. «Las vulnerabilidades dieron como resultado una exposición total confidencial de la información privada de todos los clientes de las aerolíneas en todos los países que utilizaron el servicio de esta compañía, incluido el control total sobre todas las reservas y equipaje. Debido a que una vez que usted es el súper administrador de sus sistemas más sensibles, tiene la capacidad de hacer cualquier cosa».
El CEO de Airportr, Randel Darby, confirmó los hallazgos de CyberX9 en una declaración escrita proporcionada a Wired, pero señaló que Airporttr había solucionado las vulnerabilidades unos días después de que los investigadores hicieron que la compañía consciente de los problemas en abril pasado. «Los datos fueron accedidos únicamente por los piratas informáticos éticos con el fin de recomendar mejoras a la seguridad de Airporttr, y nuestra rápida respuesta y mitigación no aseguró un riesgo adicional», escribió Darby en un comunicado. «Tomamos nuestras responsabilidades para proteger los datos de los clientes muy en serio».
Los investigadores de CyberX9, por su parte, respondieron que la simplicidad de las vulnerabilidades que encontraron significan que no hay garantía de que otros piratas informáticos no accedan primero a los datos de Airporttr. Descubrieron que una vulnerabilidad web relativamente básica les permitía cambiar la contraseña de cualquier usuario para obtener acceso a su cuenta si solo tenían la dirección de correo electrónico del usuario, y también pudieron adivinar las direcciones de correo electrónico de la fuerza bruta sin limitaciones de tasas en el sitio. Como resultado, podrían acceder a datos, incluidos los nombres de todos los clientes, números de teléfono, direcciones de viviendas, planes e historial de viajes detallados, boletos de aerolíneas, pases de embarque y detalles de vuelo, imágenes de pasaportes y firmas.
Al obtener acceso a una cuenta de administrador, los investigadores de CyberX9 dicen que un hacker también podría haber utilizado las vulnerabilidades que encontró para redirigir el equipaje, robar equipaje o incluso cancelar vuelos en los sitios web de las aerolíneas utilizando los datos de Airporttr para acceder a las cuentas de los clientes en esos sitios. Los investigadores dicen que también podrían haber usado su acceso para enviar correos electrónicos y mensajes de texto como Airporttr, un posible riesgo de phishing. Airporttr le dice a Wired que tiene 92,000 usuarios, y reclamos en su sitio web que se maneja más de 800,000 bolsas para clientes.
