Amadeus resuelve una brecha de seguridad que podría haber afectado a 'decenas de millones de pasajeros'

  • Seguridad

Ha sido Noam Rotem, hacktivista que trabaja en la compañía de seguridad Safety Detective, quien descubrió una brecha de seguridad cuando reservaba un vuelo en la compañía israelí ELAL. La brecha se encontraba en los sistemas del operador Amadeus, que trabaja con 141 aerolíneas.

Amadeus ha resuelto, a principios de esta semana, un problema de seguridad que habría afectado a la mitad de los pasajeros de avión a nivel global.  Fue Noam Rotem, hacker que actualmente trabaja en la compañía Safety Detective, quien descubrió la brecha cuando reservaba un vuelo con la compañía israelí EL AL. Esta brecha de seguridad permitía a cualquier persona acceder a información de los pasajeros, como su número de teléfono o su dirección de correo electrónico, y cambiar las reservas de los vuelos.

Más sobre seguridad

¿Cómo gestionar los riesgos y la seguridad en 2019? 

Guía de los líderes de red para proteger la SDWAN 

Robo de credenciales: prioriza la seguridad de tus apps

Estado de la ciberseguridad industrial en 2018 

Informe SophosLabs 2019 Threat Report 

Todo lo que deberías saber sobre las amenazas cifradas 

Amadeus dispone del 44% de cuota de mercado de operadores internacionales, con lo que la brecha de seguridad podría haber afectado a “decenas de millones de viajeros” destaca Safety Detective en un comunicado colgado en su página Web. Entre las aerolíneas que operan con Amadeus se encuentra, además de ELAL, United Airlines, Lufthansa o Air Canada, entre muchas otras.

La brecha de seguridad se descubrió cuando Rotem reservó un vuelo y comprobó que le enviaban un mensaje de correo electrónico sin cifrar con el código de reserva, también conocido como código PNR. “Simplemente cambiando la RULE_SOURCE_1_ID pudimos ver cualquier PNR y acceder al nombre del cliente y los detalles de su vuelo”, además de que también se podían “realizar cambios como reclamar puntos, asignar asientos, cambiar comidas, actualizar datos personales como el e-mail o el teléfono que podrían utilizarse para cancelar o cambiar el vuelo a través del servicio de atención al cliente”.

La firma se puso en contacto con la compañía área para alertarles de la brecha de seguridad que afectaba a las 141 aerolineas que utilizan el sistema de Amadeus.

“Sugerimos eliminar la vulnerabilidad mediante la introducción de captchas, contraseñas (en lugar de un código PNR de 6 caracteres) y un mecanismo de protección contra robots para evitar el uso de un enfoque de fuerza bruta”.

Amadeus ha confirmado que la brecha de seguridad ya ha sido resuelta.