Descubiertos varios fallos de seguridad en Iberia.com


El sistema de reservas a través de Internet de la compañía aérea Iberia, sufre graves fallos de seguridad que pueden poner en peligro los datos personales de los usuarios que realicen este tipo de operaciones utilizando la página corporativa www.iberia.com.





Infohacking, una organización española dedicada a la búsqueda de vulnerabilidades en dispositivos, programas y portales acaba de descubrir una fallo de seguridad en una de las compañías más importantes de España, poniendo en entredicho una vez más la seguridad de las transacciones que impliquen el pago con tarjeta de crédito a través de Internet.

Iberia posee un sistema de reservas de vuelo por Internet que permite realizar operaciones de compra de billetes utilizando una tarjeta de crédito. Aunque el portal realice la operación a través de canales cifrados y supuestamente seguros (SSL o Secure Sockets Layer) no repara en la inclusión de datos sensibles en texto en claro en la propia página HTML, lo que supone un potencial y peligroso agujero de seguridad. Este "descuido", añadido a una vulnerabilidad del tipo Cross Site Scripting (XSS) que también ha sido descubierta por Infohacking, elevan las posibilidades de riesgo para el usuario de la página.

Por si esto fuera poco Hugo Vázquez y Toni Cortés, los integrantes de Infohacking, han descubierto igualmente cómo tener acceso a zonas sensibles del portal de reservas, desde donde pueden controlar distintos aspectos de la administración del sistema de reservas.

Tras ponerse en contacto con la empresa interesada en repetidas ocasiones y no recibir respuesta, Hugo y Tony han decidido hacer público su descubrimiento a través de esta nota de prensa. Cabe recordar que este es el protocolo típico a seguir ante el descubrimiento de un fallo de seguridad en algún sistema importante. Los investigadores deben ponerse inmediatamente en contacto con la compañía avisando del problema y aportando soluciones para que se solvente lo antes posible e impedir que el fallo afecte a los usuarios. Si tras repetidos intentos la empresa hiciera caso omiso, la obligación de los descubridores es hacerlo público para que todos sean conscientes del error y puedan elegir si hacer uso o no del servicio.

No es la primera vez que Infohacking encuentran un importante fallo de seguridad en sistemas críticos. En mayo de 2003 hicieron público un grave error de XSS en los proxies Inktomi Traffic-Server 5.5.1. Esto no tendría mayor importancia si estos no fueran los dispositivos usados por Telefonica para dar el famoso servicio de proxy-caché que pusieron en marcha a principios de 2003. Por lo tanto este problema afectaba de cerca a todos los internautas españoles que usan Internet con los proxy-caché de Telefonica como intermediarios en su navegación, ya sea a través de ADSL, módem o cable. Hugo Vázquez y Toni Cortés advertían de la gravedad del problema, pues era posible robar las cookies de (literalmente) cualquier dominio, y del impresionante número de personas y empresas que se veían afectadas por esta vulnerabilidad. Afortunadamente, tras hacerlo público el fallo fue solucionado en pocos días, aunque tampoco recibieron respuesta por parte de Telefonica.

Más información y referencias:
Sergio de los Santos
http://www.forzis.com

 

Fuente:
delitosinformaticos.com



Otras noticias de interés:

Libro sobre: Implementación de Servidores con GNU/Linux
El amigo Joel Barrios a públicado su más reciente versión de un Libro denominado: Implementación de Servidores con GNU/Linux., en una entrega completamente digital en formato PDF. Esta edición tiene un total de 680 páginas y acumula más de 11 ...
Ejecución remota de scripts en RealOne Player
Se ha detectado que la actualización de seguridad del 19 de agosto de 2003 no soluciona la vulnerabilidad Cross-Site scripting (XSS), que se encontró en los archivos .SMI del RealOne Player....
88 parches para productos Oracle
Oracle ha publicado un conjunto de parches para diversos productos de la casa que solventan un total de 88 nuevas vulnerabilidades. Las consecuencias son que atacantes locales y remotos pueden comprometer gravemente la seguridad de los sistemas y ser...
Dropbox investiga una posible brecha en su servicio
Dropbox está comprobando todos sus sistemas para determinar si han podido sufrir algún tipo de ataque en los últimos días. La compañía ha comentado que no se ha registrado actividad sospechosa, pero las denuncias de usuarios que han comenzado a...
La geolocalización ¿Atenta contra la vida privada?
Los gigantes de internet Google y Facebook, que optaron por la geolocalización como pilar de su desarrollo, se aventuran más allá de los límites de la vida privada de los internautas, advirten alarmados los expertos y las Organizaciones No Gubern...
Adobe parchea una vulnerabilidad crítica
El problema, descubierto por la compañía de seguridad FireEye, afecta a los usuarios de Adobe Acrobat y Reader en las plataformas Windows, Mac y Linux, por lo que su alcance es muy elevado. Los usuarios afectados reciben un documento PDF en un e-ma...
Vulnerabilidad en asistente por voz de iPhone 4S
Una de las principales atracciones del iPhone 4S es Siri, su asistente por voz. Según se ha sabido, su configuración por defecto deja el bloqueo de contraseñas del iPhone 4S abierto y, por tanto, vulnerable. ...
Sophos aconseja como proteger la información
Controlar el contenido saliente y entrante de la red, bloquear el acceso a los puertos web y escanear el tráfico, formar a los usuarios, cifrar la información y evitar el uso de dispositivos externos son los principales consejos que recomienda Soph...
Manifiesto por una Red Neutral
Los ciudadanos y las empresas usuarias de Internet adheridas a este texto manifestamos:...
Actualización de seguridad de iTunes
Apple ha publicado la versión 9.0.1 que soluciona un grave problema de seguridad que sucedía si un usuario intentaba visualizar un archivo .pls especialmente manipulado. Esta nueva versión también soluciona otros problemas importantes y mejora la...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • descubiertos
  • exploits
  • fallos
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • iberia
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • varios
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra