[HACK] Nuevos fallos de seguridad en Iberia.com

[Sergio de los Santos]

24/07/2004

Nuevos fallos de seguridad en Iberia.com

Sergio de los Santos
www.forzis.com

Infohacking, organización dedicada a la seguridad informática, ha  
descubierto nuevos fallos de seguridad en la página web de la compañía  
aérea Iberia, que permiten desde falsificar sus páginas web, hasta robar  
sesiones y datos personales de los usuarios. Además, ha demostrado que  
Iberia.com mantenía una vulnerabilidad en su portal descubierta hace casi  
cuatro años.

Hugo Vázquez, responsable de Infohacking, ha hecho público el  
descubrimiento de nuevos fallos de seguridad en la web corporativa  
Iberia.com. Hugo ya desveló a principios de junio varios errores que  
ponían en riesgo las transacciones y reservas de vuelo que permite el  
sistema de Iberia, además de comprobar cómo se podía tener acceso a zonas  
sensibles del portal de reservas.

Casi dos meses después de hacer público el hecho y ante la pasividad de  
Iberia, Infohacking ha vuelto a comprobar que la compañía no sólo no había  
arreglado los problemas de seguridad, sino que descubría nuevos fallos de  
programación en sus sistemas.

Entre otros errores, Hugo demuestra que existen varias vulnerabilidades  
del tipo Cross Site Scripting (XSS) que permiten la falsificación de  
páginas web que aunque provengan del propio dominio Iberia.com, pueden ser  
completamente falsas. Induciendo a la víctima a introducir sus contraseñas  
cualquiera podría apoderarse de ellas. La novedad con respecto al resto de  
ataques de tipo "phishing" es que en este caso es el propio servidor de  
Iberia el que permite mostrar formularios falsos, lo que vuelve al ataque  
virtualmente indetectable puesto que la URL y los certificados son los  
reales.

Este último fallo ya ha sido corregido a día 23 de julio, aunque siguen  
existiendo otros problemas potencialmente peligrosos que continúan sin ser  
resueltos.

Aparte de los errores de programación, Iberia utiliza un software de  
terceros para el seguimiento de sesiones que sufre de una vulnerabilidad  
documentada desde noviembre de 2000 y que no ha sido corregida aun  
disponiendo de la información necesaria para hacerlo. Este error puede  
derivar en el secuestro de sesiones autenticadas, lo que permite la  
suplantación de identidad de los usuarios. Este fallo es especialmente  
importante, puesto que cualquiera que pueda monitorizar una comunicación  
entre cliente y servidor de Iberia (cibercafés, empresas...) puede hacerse  
con las tarjetas de crédito de los usuarios.

Infohacking denuncia la pasividad de la compañía aérea que al contrario de  
lo que afirma en su política de privacidad, en ningún momento ha  
demostrado interés por la seguridad de sus usuarios y que ha preferido no  
responder a las llamadas que el propio Hugo ha realizado en repetidas  
ocasiones. Además, afirma que un miembro de ESCERT (Equipo de Seguridad  
para la Coordinación de Emergencias en Redes Telemáticas) ha confirmado  
que sus descubrimientos son ciertos y suponen un peligro real para los  
clientes de Iberia.

Más información y referencias:

IBERIA (capitulo 2) 19-Jul-2004
http://www.infohacking.com/iberia2/

Descubiertos varios fallos de seguridad en Iberia.com
http://www.forzis.com/news/noticias.php?cod_noticia=126

Possible session hijacking with websites using middleware products
http://www.mis-cds.com/news/corporate/20001121bv.html

ESCERT
http://escert.upc.es