Descubiertos varios fallos de seguridad en Iberia.com


El sistema de reservas a través de Internet de la compañía aérea Iberia, sufre graves fallos de seguridad que pueden poner en peligro los datos personales de los usuarios que realicen este tipo de operaciones utilizando la página corporativa www.iberia.com.





Infohacking, una organización española dedicada a la búsqueda de vulnerabilidades en dispositivos, programas y portales acaba de descubrir una fallo de seguridad en una de las compañías más importantes de España, poniendo en entredicho una vez más la seguridad de las transacciones que impliquen el pago con tarjeta de crédito a través de Internet.

Iberia posee un sistema de reservas de vuelo por Internet que permite realizar operaciones de compra de billetes utilizando una tarjeta de crédito. Aunque el portal realice la operación a través de canales cifrados y supuestamente seguros (SSL o Secure Sockets Layer) no repara en la inclusión de datos sensibles en texto en claro en la propia página HTML, lo que supone un potencial y peligroso agujero de seguridad. Este "descuido", añadido a una vulnerabilidad del tipo Cross Site Scripting (XSS) que también ha sido descubierta por Infohacking, elevan las posibilidades de riesgo para el usuario de la página.

Por si esto fuera poco Hugo Vázquez y Toni Cortés, los integrantes de Infohacking, han descubierto igualmente cómo tener acceso a zonas sensibles del portal de reservas, desde donde pueden controlar distintos aspectos de la administración del sistema de reservas.

Tras ponerse en contacto con la empresa interesada en repetidas ocasiones y no recibir respuesta, Hugo y Tony han decidido hacer público su descubrimiento a través de esta nota de prensa. Cabe recordar que este es el protocolo típico a seguir ante el descubrimiento de un fallo de seguridad en algún sistema importante. Los investigadores deben ponerse inmediatamente en contacto con la compañía avisando del problema y aportando soluciones para que se solvente lo antes posible e impedir que el fallo afecte a los usuarios. Si tras repetidos intentos la empresa hiciera caso omiso, la obligación de los descubridores es hacerlo público para que todos sean conscientes del error y puedan elegir si hacer uso o no del servicio.

No es la primera vez que Infohacking encuentran un importante fallo de seguridad en sistemas críticos. En mayo de 2003 hicieron público un grave error de XSS en los proxies Inktomi Traffic-Server 5.5.1. Esto no tendría mayor importancia si estos no fueran los dispositivos usados por Telefonica para dar el famoso servicio de proxy-caché que pusieron en marcha a principios de 2003. Por lo tanto este problema afectaba de cerca a todos los internautas españoles que usan Internet con los proxy-caché de Telefonica como intermediarios en su navegación, ya sea a través de ADSL, módem o cable. Hugo Vázquez y Toni Cortés advertían de la gravedad del problema, pues era posible robar las cookies de (literalmente) cualquier dominio, y del impresionante número de personas y empresas que se veían afectadas por esta vulnerabilidad. Afortunadamente, tras hacerlo público el fallo fue solucionado en pocos días, aunque tampoco recibieron respuesta por parte de Telefonica.

Más información y referencias:
Sergio de los Santos
http://www.forzis.com

 

Fuente:
delitosinformaticos.com



Otras noticias de interés:

Actualización de seguridad para QuickTime 7.1.6
Apple QuickTime 7.1.6 fue publicado hace apenas unas semanas , pero ahora Apple publica una actualización de seguridad para dicha versión....
Document Freedom Day, ¿estás seguro de que tu .doc será legible en 10 años?
El Document Freedom Day (DFD), a celebrarse el próximo miércoles 31 de marzo, será el día dedicado a la liberación de documentos; es decir, será el día dedicado a dar a conocer la importancia de los formatos y estándares abiertos en la creaci...
El BYOD y el trabajo
Una de las tendencias que las nuevas tecnologías han generado espontáneamente en relación al trabajo es la llamada BYOD (bring your own device o trae tu propio dispositivo). Se trata de que los empleados utilicen para el trabajo los terminales que...
Actualización de seguridad Thunderbird 2.0.0.14
Se ha publicado una nueva actualización de seguridad para los usuarios de Thunderbird. La versión 2.0.0.14 incluye dos arreglos destacables...
Los superordenadores prefieren GNU/Linux
La lista de los 500 ordenadores más potentes del planeta ha coronado a Linux, una vez más, como el sistema operativo preferido por sus administradores, conforme al último informe semestral de la organización Top500, y del que se hace eco PC World...
Adobe soluciona vulnerabilidades críticas en Flash Player
La nueva versión de Flash Player soluciona un total de once vulnerabilidades críticas que afectan a las versiones de MS Windows, Mac y GNU/Linux....
Bug Zero-day encontrado en Adobe Flash
Los cazadores de malware han descubierto una vulnerabilidad del tipo zero-day en Adobe Flash. El problema ha sido añadida a la versión china del Mpack exploit kit y hay señales de que los explits están siendo inyectados en sitios web de terceros ...
Grave vulnerabilidad en phpBB
phpBB es un paquete de código abierto, altamente configurable, para la creación de portales, basado en los Bulletin Board (tablones de noticias), como originalmente se llamaban a los BBS (Bulletin Board System). Hoy día esto ha evolucionado a lo...
Datos privados subidos a Megaupload están en peligro!
Han pasado diez días desde el cierre de Megaupload. Hoy se conoce que los ficheros subidos al cyberlocker van a empezar a desaparecer a partir de este jueves día 2 de febrero, incluyendo los personales y legales. Y es que la capacidad de almacenami...
Hueco de seguridad en el chat de Mipunto.com
El código de Volano chat y los parámetros de los applets que usa el chat de MiPunto.com pueden ser manipulados, gracias a una vulnerabilidad descubierta por el equipo de ORVTech.COM y LinuxEvolution.ORG ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • descubiertos
  • exploits
  • fallos
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • iberia
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • varios
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra