Un servicio de equipaje premium reveló los planes de viaje de todos sus usuarios, incluidos diplomáticos, debido a fallos en su web.
Vulnerabilidades de seguridad en Airportr, un servicio de verificación de equipaje puerta a puerta utilizado por diez aerolíneas, permitieron a los hackers acceder a la información de los usuarios e incluso obtener privilegios que les habrían facilitado redirigir o robar equipaje.
Un equipo de investigadores en ciberseguridad ha descubierto vulnerabilidades significativas en Airportr, un servicio de equipaje del Reino Unido que colabora con diversas aerolíneas. Este servicio, utilizado por muchos viajeros en el Reino Unido y Europa, permite a los usuarios pagar por la recogida, el registro y la entrega de su equipaje a su destino. Sin embargo, los expertos de CyberX9 encontraron que fallas sencillas en el sitio web de Airportr permitieron acceder a gran parte de la información personal de los usuarios, que incluía planes de viaje y, en algunos casos, incluso la posibilidad de obtener privilegios de administrador.
Las investigaciones revelaron que los datos a los que accedieron contenían información personal de varios funcionarios gubernamentales y diplomáticos de países como el Reino Unido, Suiza y Estados Unidos. Himanshu Pathak, fundador y CEO de CyberX9, indicó que las vulnerabilidades podrían haber permitido a un atacante acceder a toda la información sensible de los clientes de la empresa, incluso controlar reservas y equipaje. Pathak enfatizó que el riesgo era considerable, dado que cualquier persona podría haber obtenido acceso de superadministrador a los sistemas críticos de la compañía.
El CEO de Airportr, Randel Darby, admitió las fallas después de que los investigadores las informaran, asegurando que se había desactivado rápidamente la parte vulnerable del backend del sitio y que los problemas fueron solucionados en pocos días. Darby señaló que el acceso a los datos fue realizado exclusivamente por hackers éticos, quienes buscaban sugerir mejoras a la seguridad de la plataforma.
Los investigadores señalaron que la simplicidad de las vulnerabilidades encontradas plantea la inquietud de que otros hackers podrían haber accedido a la información antes. Entre las debilidades, se descubrió que era posible cambiar la contraseña de cualquier usuario con solo conocer su dirección de correo electrónico, lo que permitió acceder a datos sensibles como nombres, números de teléfono, direcciones y detalles de vuelos.
Además, los investigadores aseveraron que al obtener acceso a una cuenta de administrador, un atacante podría redirigir o robar equipaje, así como cancelar vuelos en los sitios web de aerolíneas asociadas a Airportr. También podrían haber enviado correos electrónicos y mensajes de texto como si fueran Airportr, lo que representaría un riesgo amplio de phishing.
Airportr, que afirma contar con 92,000 usuarios y haber manejado más de 800,000 piezas de equipaje, ha mantenido su enfoque en la seguridad de los datos de sus clientes. Sin embargo, los expertos argumentan que esta situación es un recordatorio sobre los peligros que representan los servicios de terceros y cómo estos pueden ser una fuente oculta de exposición de datos. Pathak destacó que el verdadero riesgo puede no ser solo la aerolínea, sino también los pequeños servicios asociados que muchas veces pasamos por alto al confiar en las recomendaciones de las aerolíneas y aeropuertos.
