British Airways ha vuelto a recibir críticas de la comunidad de seguridad. Esta vez, después de que se descubriera que una vulnerabilidad en su sistema de billetes electrónicos exponía la información personal de los pasajeros (PII).
La empresa de seguridad Wandera afirmó que la aerolínea estaba enviando enlaces de facturación sin cifrar a los clientes que contenían la referencia de la reserva y el apellido en la propia URL.
“Por lo tanto, alguien que esté espiando en la misma red pública Wi-Fi puede interceptar fácilmente la solicitud de enlace, que incluye la referencia y el apellido de la reserva y utilizar estos datos para acceder al itinerario en línea del pasajero con el fin de robar aún más información o manipular la información de la reserva”, explicó la empresa.
Con el acceso a la cuenta de un cliente, los delincuentes podían acceder a más información de identidad, incluyendo nombre completo, itinerario, dirección de correo electrónico, número de teléfono y mucho más, todo ello valioso para su uso en posibles ataques de phishing y fraude de identidad.
En febrero, Wandera encontró la misma falla en los enlaces de facturación enviados por Southwest, KLM, Air France, Jetstar, Thomas Cook, Vueling, Air Europa y Transavia.
Las aerolíneas recomendadas por la empresa utilizan tokens de una sola vez para los enlaces directos dentro de los correos electrónicos y requieren una autenticación de usuario explícita para todos los pasos en los que la IIP es accesible y editable.
La noticia llega cuando BA todavía está tambaleándose tras la propuesta de una multa de 183 millones de libras esterlinas por GDPR tras fallos de seguridad que permitieron a los atacantes de Magecart recopilar los datos de sus clientes en su sitio web.
César Cerrudo, CTO de los probadores de bolígrafos IOActive, argumentó que el enfoque de los desarrolladores se centra con demasiada frecuencia en la usabilidad, el rendimiento y la escalabilidad en lugar de en la seguridad.
“Lo que se olvida es lo delicados que son los datos que se almacenan”, añadió.
“Sin embargo, aunque es una práctica común que las aerolíneas utilicen pruebas de penetración de terceros para su hardware y servicios de vuelo críticos, a menudo prueban sus servicios y aplicaciones en línea internamente utilizando equipos que a menudo están bajo la presión de TI para cumplir con plazos estrictos, lo que significa que las cosas se escapan por las brechas”.
“Esto no es un golpe de gracia para las aerolíneas. El consumidor que vuela con British Airways, o con otras compañías aéreas, debería considerar que su información personal ha sido comprometida muchas veces”, añadió.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian