Casi la mitad de los vuelos del mundo fueron expuestos a una vulnerabilidad de seguridad crítica descubierta en el sistema de reserva de billetes de avión en línea. Noam Rotem, investigador israelí de seguridad de redes, descubrió la vulnerabilidad, que permitía a los hackers acceder en remoto y modificar sus detalles de viaje, mientras reservaba un vuelo en la aerolínea israelí ELAL.
La vulnerabilidad residía en el sistema de reservas de vuelos en línea, ampliamente utilizado, desarrollado por Amadeus, que actualmente utilizan cerca de 141 aerolíneas internacionales. Después de reservar un vuelo, el viajero recibe un número de PNR y un enlace único que permite a los clientes comprobar el estado de su reserva y la información relacionada con ese PNR.
Según informa The Hacker News, Rotem descubrió que, simplemente cambiando el valor del parámetro "RULE_SOURCE_1_ID" en ese enlace al número PNR de otra persona, se mostraba información personal y relacionada con la reserva de la cuenta asociada con ese cliente.
Utilizando la información revelada, es decir, la identificación de la reserva y el apellido del cliente, un atacante puede simplemente acceder a la cuenta de la víctima en el portal del cliente y "hacer cambios, reclamar millas de viajero frecuente a una cuenta personal, asignar asientos y comidas, y actualizar el correo electrónico y el número de teléfono del cliente, lo que podría utilizarse para cancelar/cambiar la reserva de vuelos a través del servicio de atención al cliente".
The Hacker News (16/01/2019)
