Bugs y Exploits

Infohacking, organización dedicada a la seguridad informática, ha descubierto nuevos fallos de seguridad en la página web de la compañía aérea Iberia, que permiten desde falsificar sus páginas web, hasta robar sesiones y datos personales de los usuarios. Además, ha demostrado que Iberia.com mantenía una vulnerabilidad en su portal descubierta hace casi cuatro años.

25-07-2004 - Hugo Vázquez, responsable de Infohacking, ha hecho público el descubrimiento de nuevos fallos de seguridad en la web corporativa Iberia.com. Hugo ya desveló a principios de junio varios errores que ponían en riesgo las transacciones y reservas de vuelo que permite el sistema de Iberia, además de comprobar cómo se podía tener acceso a zonas sensibles del portal de reservas.

Casi dos meses después de hacer público el hecho y ante la pasividad de Iberia, Infohacking ha vuelto a comprobar que la compañía no sólo no había arreglado los problemas de seguridad, sino que descubría nuevos fallos de programación en sus sistemas.

Entre otros errores, Hugo demuestra que existen varias vulnerabilidades del tipo Cross Site Scripting (XSS) que permiten la falsificación de páginas web que aunque provengan del propio dominio Iberia.com, pueden ser completamente falsas. Induciendo a la víctima a introducir sus contraseñas cualquiera podría apoderarse de ellas. La novedad con respecto al resto de ataques de tipo "phishing" es que en este caso es el propio servidor de Iberia el que permite mostrar formularios falsos, lo que vuelve al ataque virtualmente indetectable puesto que la URL y los certificados son los reales.

Este último fallo ya ha sido corregido a día 23 de julio, aunque siguen existiendo otros problemas potencialmente peligrosos que continúan sin ser resueltos.

Aparte de los errores de programación, Iberia utiliza un software de terceros para el seguimiento de sesiones que sufre de una vulnerabilidad documentada desde noviembre de 2000 y que no ha sido corregida aun disponiendo de la información necesaria para hacerlo. Este error puede derivar en el secuestro de sesiones autenticadas, lo que permite la suplantación de identidad de los usuarios. Este fallo es especialmente importante, puesto que cualquiera que pueda monitorizar una comunicación entre cliente y servidor de Iberia (cibercafés, empresas...) puede hacerse con las tarjetas de crédito de los usuarios.

Infohacking denuncia la pasividad de la compañía aérea que al contrario de lo que afirma en su política de privacidad, en ningún momento ha demostrado interés por la seguridad de sus usuarios y que ha preferido no responder a las llamadas que el propio Hugo ha realizado en repetidas ocasiones. Además, afirma que un miembro de ESCERT (Equipo de Seguridad para la Coordinación de Emergencias en Redes Telemáticas) ha confirmado que sus descubrimientos son ciertos y suponen un peligro real para los clientes de Iberia.

Más información y referencias:

IBERIA (capitulo 2) 19-Jul-2004
http://www.infohacking.com/iberia2/

Descubiertos varios fallos de seguridad en Iberia.com
http://www.forzis.com/news/noticias.php?cod_noticia=126

Possible session hijacking with websites using middleware products
http://www.mis-cds.com/news/corporate/20001121bv.html

ESCERT
http://escert.upc.es

Sergio de los Santos
http://www.forzis.com