Descubiertos varios fallos de seguridad en Iberia.com


El sistema de reservas a través de Internet de la compañía aérea Iberia, sufre graves fallos de seguridad que pueden poner en peligro los datos personales de los usuarios que realicen este tipo de operaciones utilizando la página corporativa www.iberia.com.





Infohacking, una organización española dedicada a la búsqueda de vulnerabilidades en dispositivos, programas y portales acaba de descubrir una fallo de seguridad en una de las compañías más importantes de España, poniendo en entredicho una vez más la seguridad de las transacciones que impliquen el pago con tarjeta de crédito a través de Internet.

Iberia posee un sistema de reservas de vuelo por Internet que permite realizar operaciones de compra de billetes utilizando una tarjeta de crédito. Aunque el portal realice la operación a través de canales cifrados y supuestamente seguros (SSL o Secure Sockets Layer) no repara en la inclusión de datos sensibles en texto en claro en la propia página HTML, lo que supone un potencial y peligroso agujero de seguridad. Este "descuido", añadido a una vulnerabilidad del tipo Cross Site Scripting (XSS) que también ha sido descubierta por Infohacking, elevan las posibilidades de riesgo para el usuario de la página.

Por si esto fuera poco Hugo Vázquez y Toni Cortés, los integrantes de Infohacking, han descubierto igualmente cómo tener acceso a zonas sensibles del portal de reservas, desde donde pueden controlar distintos aspectos de la administración del sistema de reservas.

Tras ponerse en contacto con la empresa interesada en repetidas ocasiones y no recibir respuesta, Hugo y Tony han decidido hacer público su descubrimiento a través de esta nota de prensa. Cabe recordar que este es el protocolo típico a seguir ante el descubrimiento de un fallo de seguridad en algún sistema importante. Los investigadores deben ponerse inmediatamente en contacto con la compañía avisando del problema y aportando soluciones para que se solvente lo antes posible e impedir que el fallo afecte a los usuarios. Si tras repetidos intentos la empresa hiciera caso omiso, la obligación de los descubridores es hacerlo público para que todos sean conscientes del error y puedan elegir si hacer uso o no del servicio.

No es la primera vez que Infohacking encuentran un importante fallo de seguridad en sistemas críticos. En mayo de 2003 hicieron público un grave error de XSS en los proxies Inktomi Traffic-Server 5.5.1. Esto no tendría mayor importancia si estos no fueran los dispositivos usados por Telefonica para dar el famoso servicio de proxy-caché que pusieron en marcha a principios de 2003. Por lo tanto este problema afectaba de cerca a todos los internautas españoles que usan Internet con los proxy-caché de Telefonica como intermediarios en su navegación, ya sea a través de ADSL, módem o cable. Hugo Vázquez y Toni Cortés advertían de la gravedad del problema, pues era posible robar las cookies de (literalmente) cualquier dominio, y del impresionante número de personas y empresas que se veían afectadas por esta vulnerabilidad. Afortunadamente, tras hacerlo público el fallo fue solucionado en pocos días, aunque tampoco recibieron respuesta por parte de Telefonica.

Más información y referencias:
Sergio de los Santos
http://www.forzis.com

 

Fuente:
delitosinformaticos.com



Otras noticias de interés:

Opera anuncia nuevas versiones de su navegador
Opera anunció su compromiso de incorporar en su navegador soporte para idiomas escritos de derecha a izquierda....
Cross-site scripting en Skype
Skype es un el cliente de VoIP muy popular, recientemente adquirido por Microsoft. Cuenta con millones de usuarios por todo el mundo y permite las comunicaciones a través de chat, voz y videoconferencia con otros usuarios de Skype o teléfonos. Adem...
El 61% de la gente usa la misma contraseña para todo
Una agencia de comunicación con el orginal nombre de @www ha publicado recientemente un estudio según el cual más del 60% de la población que hace uso de contraseñas siempre utilizan la misma en todos los servicios que utilizan.....
Hackers intervienen varios sitios hospedados por Networks Solutions
Los hackers se las han ingeniado para intervenir varias cientos de sitios web hospedados por Network Solutions. En una entrada de blog, el proveedor de servicios Internet (ISP) ha descrito el incidente como un ataque limitado sobre websites hospedado...
La Web 2.0 pone en peligro la privacidad de los usuarios
Amadeu Abril alerta de los peligros de la llamada Web 2.0 durante su intervención en el IGC...
Malware que sobrevive a formateos, vive en la BIOS
Un par de investigadores argentinos, Alfredo Ortega y Anibal Sacco, han encontrado una manera de realizar un ataque malware a nivel BIOS que puede sobrevivir al formateo del disco duro de un computador....
TuxInfo 50 lista para la descarga
TuxInfo a publicado su edición 50. ...
Firefox 3.0.11 listo para la Descarga
Mozilla ha liberado la nueva versión de este maravilloso navegador, en donde corrigen algunos bugs y detalles de seguridad....
Salto de restricciones de seguridad a través de .htacces en PHP 4.x y 5.x
Se ha descubierto una vulnerabilidad en PHP que podría ser aprovechada por un atacante para eludir ciertas restricciones de seguridad. ...
Las barras antiphishing no aprueban
Las barras antiphishng se han convertido en una funcionalidad muy popular en los navegadores. Los dos más utilizados, Firefox y la nueva versión de Internet Explorer, incluyen de serie sistemas para detectar las páginas fraudulentas. Existen ot...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • descubiertos
  • exploits
  • fallos
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • iberia
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • varios
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra