[HACK] Descubiertos varios fallos de seguridad en Iberia.com

[Sergio de los Santos]

06-06-04

Sergio de los Santos
www.forzis.com

Descubiertos varios fallos de seguridad en Iberia.com

El sistema de reservas a través de Internet de la compañía aérea Iberia,  
sufre graves fallos de seguridad que pueden poner en peligro los datos  
personales de los usuarios que realicen este tipo de operaciones  
utilizando la página corporativa www.iberia.com.

Infohacking, una organización española dedicada a la búsqueda de  
vulnerabilidades en dispositivos, programas y portales acaba de descubrir  
una fallo de seguridad en una de las compañías más importantes de España,  
poniendo en entredicho una vez más la seguridad de las transacciones que  
impliquen el pago con tarjeta de crédito a través de Internet.

Iberia posee un sistema de reservas de vuelo por Internet que permite  
realizar operaciones de compra de billetes utilizando una tarjeta de  
crédito. Aunque el portal realice la operación a través de canales  
cifrados y supuestamente seguros (SSL o Secure Sockets Layer) no repara en  
la inclusión de datos sensibles en texto en claro en la propia página  
HTML, lo que supone un potencial y peligroso agujero de seguridad. Este  
"descuido", añadido a una vulnerabilidad del tipo Cross Site Scripting  
(XSS) que también ha sido descubierta por Infohacking, elevan las  
posibilidades de riesgo para el usuario de la página.

Por si esto fuera poco  Hugo Vázquez y Toni Cortés, los integrantes de  
Infohacking, han descubierto igualmente cómo tener acceso a zonas  
sensibles del portal de reservas, desde donde pueden controlar distintos  
aspectos de la administración del sistema de reservas.

Tras ponerse en contacto con la empresa interesada en repetidas ocasiones  
y no recibir respuesta, Hugo y Tony han decidido hacer público su  
descubrimiento a través de esta nota de prensa. Cabe recordar que este es  
el protocolo típico a seguir ante el descubrimiento de un fallo de  
seguridad en algún sistema importante. Los investigadores deben ponerse  
inmediatamente en contacto con la compañía avisando del problema y  
aportando soluciones para que se solvente lo antes posible e impedir que  
el fallo afecte a los usuarios. Si tras repetidos intentos la empresa  
hiciera caso omiso, la obligación de los descubridores es hacerlo público  
para que todos sean conscientes del error y puedan elegir si hacer uso o  
no del servicio.

No es la primera vez que Infohacking encuentran un importante fallo de  
seguridad en sistemas críticos. En mayo de 2003 hicieron público un grave  
error de XSS en los proxies Inktomi Traffic-Server 5.5.1. Esto no tendría  
mayor importancia si estos no fueran los dispositivos usados por  
Telefonica para dar el famoso servicio de  proxy-caché que pusieron en  
marcha a principios de 2003. Por lo tanto este problema afectaba de cerca  
a todos los internautas españoles que usan Internet con los proxy-caché de  
Telefonica como intermediarios en su navegación, ya sea a través de ADSL,  
módem o cable. Hugo Vázquez y Toni Cortés advertían de la gravedad del  
problema, pues era posible robar las cookies de (literalmente) cualquier  
dominio, y del impresionante número de personas y empresas que se veían  
afectadas por esta vulnerabilidad. Afortunadamente, tras hacerlo público  
el fallo fue solucionado en pocos días, aunque tampoco recibieron  
respuesta por parte de Telefonica.

Más información y referencias:

Iberia pierde aciete:
http://www.infohacking.com/iberia/index.html

INKTOMI Traffic-Server XSS
http://www.infohacking.com/INFOHACKING_RESEARCH/Our_Advisories/Traffic-Server/