Los programas de recompensas de viaje, como los que ofrecen las aerolíneas y los hoteles (Delta SkyMiles, United MileagePlus, Hilton Honors, Marriott Bonvoy…), no son idénticos entre sí en funcionalidades, pero la mayoría de ellos sí hacen uso de una misma infraestructura digital al estar basados en la misma plataforma: la de Points.com.
Esta centralización ofrece ventajas, pero también tiene un lado negativo: toda la actividad del sector se puede ver comprometida si los hackers consiguen hacerse paso hasta los sistemas de la plataforma. Lo cual es exactamente lo que ha pasado.
Por fortuna para Points.com, han sido los ‘hackers buenos’… que fueron notificando las vulnerabilidades detectadas entre marzo y mayo de este año —todas ellas han sido ya subsanadas—. Ayer mismo, este grupo de investigadores de ciberseguridad hizo públicas dichas vulnerabilidades de la API de Points.com, junto con los detalles técnicos de su intrusión.
Shubham Shah, uno de los investigadores, comentó que se sorprendió al descubrir que existía una entidad central para los sistemas de fidelización, utilizada por casi todas las grandes marcas del mundo. En su opinión, si los cibercriminales hubieran identificado antes que ellos los fallos en este sistema, podría haber tenido “un efecto en cascada”.
Lo veo todo
Entre las vulnerabilidades encontradas, una de ellas permitía a los investigadores acceder a un apartado supuestamente interno de la infraestructura de la API de Points.com, para consultar los pedidos de los clientes del programa de recompensas.
Esto les otorgaba acceso a 22 millones de registros de pedidos, que contenían datos sensibles (código numérico de la cuenta, direcciones, números de teléfono, direcciones de correo electrónico y números parciales de tarjetas de crédito).
Aunque Points.com limitaba la cantidad de datos que podían extraerse a la vez, los investigadores señalaron que un atacante podría haber buscado personas específicas o extraer los datos lentamente a lo largo del tiempo, por lo que no suponía un obstáculo real.
Unas cuantas millas de este usuario, otras cuantas de ese otro…
Otra vulnerabilidad permitía que un atacante generara un token de autorización de cuenta para cualquier usuario con solo su apellido y el código numérico de la cuenta. Estos datos podrían haber sido obtenidos a través de brechas de seguridad anteriores… o, sencillamente, explotando la primera vulnerabilidad.
Con este token, los atacantes podían apoderarse de las cuentas de los clientes y transferir millas de vuelo u otros puntos de recompensa a otros usuarios (como ellos mismos), vaciando las cuentas de las víctimas.
El ‘Modo Dios’, y el secreto no tan secreto
Pero la tercera vulnerabilidad resultó ser mucho más significativa: en el sitio web de administración global de Points.com, las cookies encriptadas asignadas a cada usuario estaban ‘protegidas’ por una clave bien sencilla de adivinar: la palabra “secret”.
Tras descubrir esto, los investigadores podían descifrar la cookie, otorgarse privilegios de administrador global para el sitio, volver a cifrar la cookie y, a efectos prácticos, lograr poderes similares al “Modo Dios” de un videojuego, lo que les permitía acceder a cualquier sistema de recompensas vinculado a Points.com e incluso otorgar millas ilimitadas u otros beneficios a las cuentas (lo que hacía innecesario hacer uso de la segunda vulnerabilidad).
Vía | Slashdot
Imagen | Sam Curry & Pixabay
En Genbeta | Acaba de morir el hacker más famoso de la historia. Esto es lo que hizo