De acuerdo a Ubergizmo, ya fue reparada una vulnerabilidad de Delta Airlines que permitía que los pasajeros pudieran ver los pases de embarque electrónicos de otros pasajeros.
Dani Grant, una pasante de Buzzfeed, descubrió que podía compartir la URL de su boarding pass electrónico para que cualquiera pudiera descargarlo, y luego se dio cuenta que con un simple cambio de números en la URL, podía acceder a los detalles de otros pasajeros, incluso de aquellos que viajaban en una aerolínea diferente.
A pesar que el exploit hubiera podido tener una funcionalidad limitada en el mundo real (es, después de todo, una sola capa de seguridad dentro de un ecosistema de seguridad de multi-capas como es un aeropuerto), esta vulnerabilidad de Delta Airlines le podría haber permitido a usuarios hacer el check in de otros pasajeros y cambiar sus asientos cuando quisieran. Más allá de eso, su alcance es limitado, tal como lo explica Engadget: “Deberías tener un boarding pass legítimo a tu nombre para pasar migraciones. Si pudieras conseguir un pase de otra persona, debería estar originado desde el mismo aeropuerto en el que te encontraras. En otras palabras, si tienes un boarding pass desde Nueva York a Minneapolis, un pasaje de Atlanta a Barcelona no serviría para nada.”
La Secretaría de Prensa de TSA (la Administración de Seguridad del Transporte de los Estados Unidos) ha minimizado el inconveniente, afirmando que “la revisación de los documentos de viaje es tan solo una capa de defensa de la TSA para la seguridad en aviación. Los oficiales están entrenados para detectar, y potencialmente detener, individuos que quisieran abordar una aeronave utilizando documentos fraudulentos.”
En una entrevista con la revista TIME, Paul Skrbec, vocero de Delta Airlines, explicó que el inconveniente había sido solucionado el martes por la tarde: “Luego de descubrir un posible problema con nuestros pases de abordo para móviles el lunes, nuestros equipos de IT rápidamente solucionaron el inconveniente para prevenir que no siguiera ocurriendo.” Además dijo que no habían signos de que hubiera ninguna cuenta de cliente comprometida.
Mashable además se contactó con Southwest Airlines, quienes también fueron afectados por esta vulnerabilidad, y las mismas medidas fueron tomadas para solucionar el problema. “Tan pronto nos enteramos del inconveniente, nos contactamos con la empresa encargada de la funcionalidad de embarque móvil para que resuelvan la cuestión cuanto antes” explicó un vocero de la aerolínea. “Luego de la notificación, el problema fue inmediatamente eliminado y no tenemos reporte alguno de que algún cliente de la aerolínea se haya visto afectado.”
Fuente:https://www.welivesecurity.com/
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
