Alquilé una habitación, pero me dejaron detrás de la puerta: los piratas informáticos piratearon un popular sistema de reservas online
Cómo una sola vulnerabilidad puso en peligro las vacaciones de millones de personas.
Investigadores en el ámbito de la ciberseguridad revelaron detalles de una vulnerabilidad que permitía tomar el control de cuentas de usuarios de un popular servicio en línea para reservas de hoteles y alquiler de coches. La vulnerabilidad, que recientemente fue corregida, podría haber supuesto riesgos significativos para millones de viajeros.
Según el informe de Salt Labs, los atacantes podían obtener acceso no autorizado a la cuenta del usuario, lo que les permitía realizar acciones en nombre de la víctima: reservar hoteles y coches utilizando puntos de lealtad, así como modificar o cancelar reservas activas. La vulnerabilidad afectaba a un servicio integrado con decenas de plataformas en línea de aerolíneas comerciales, permitiendo añadir reservas de hoteles al itinerario de viaje.
Para explotar la vulnerabilidad, un atacante solo necesitaba enviar un enlace especialmente diseñado a la víctima, que podía ser distribuido a través de correo electrónico, mensajes de texto o sitios web maliciosos. Al hacer clic en dicho enlace, el atacante podía tomar el control de la cuenta del usuario tras completar el proceso de autorización.
En el sistema de reservas se utiliza un mecanismo de autorización a través de OAuth, en el que los usuarios accedían al sistema utilizando las credenciales de su cuenta de aerolínea. Tras una autorización exitosa, el usuario era redirigido a un sitio web donde podía usar puntos de lealtad para realizar reservas.
El ataque se basaba en redirigir la respuesta de autorización de la aerolínea, que contenía el token de sesión del usuario, a un sitio web controlado por el atacante mediante la manipulación del parámetro «tr_returnUrl». Esto permitió a los atacantes acceder a la información personal de los usuarios y a sus cuentas.
Una característica particular del ataque era el uso de un dominio legítimo del cliente con solo cambiar los parámetros, en lugar del propio dominio, lo que dificultaba la detección de la amenaza mediante métodos estándar de verificación de dominios. Los expertos de Salt Labs destacaron que la interacción entre servicios crea un objetivo atractivo para los ataques a la cadena de suministro de API. Estos ataques permiten a los atacantes infiltrarse en sistemas, robar datos de los usuarios y realizar acciones en su nombre.
Casos como este subrayan la necesidad de medidas de seguridad reforzadas, especialmente en lo que respecta a la protección de datos y la prevención de accesos no autorizados en sistemas que utilizan integraciones de terceros. Un mayor control sobre las API y los parámetros de redirección puede ayudar a prevenir incidentes similares en el futuro.
¿Estás cansado de que Internet sepa todo sobre ti?