Una vulnerabilidad reportada a United Airlines que podrían haber sido explotada para manipular reservaciones de vuelo y datos del cliente permaneció sin parche durante casi seis meses antes de que se arreglara hace 10 días.
El investigador Randy Westergren encontró y reportó un problema en la aplicación móvil de United Airlines en mayo, poco después de que la aerolínea anunciara su programa de recompensas de errores, el primero en su sector. Un parche, sin embargo, llegó sólo después de seis meses de ida y vuelta entre la aerolínea y Westergren prometiendo revelar el problema y alertar con una publicación tecnológica.
La vulnerabilidad se encuentra en la API de los equipos que exponía información personal de cualquier miembro del programa de viajero frecuente de United MileagePlus. Westergren dijo que su ataque implicó la creación de una cuenta, reservar un vuelo y examinar solicitudes de la aplicación. Vio que podía cambiar un parámetro en particular, mpNumber, y recibir información de contacto y vuelo para cualquier miembro de MileagePlus.
"La vulnerabilidad permite esencialmente a un atacante especificar el número de MileagePlus durante la petición de que obtiene los próximos vuelos. Esto significa que uno podría estar conectado a su propia cuenta, pero Solicitar a los detalles de otra cuenta ", dijo Westergren.
"Aunque los números de MileagePlus no eran secuenciales, parecían seguir un formato predecible", dijo. "Un amplio ataque incluiría adivinar el mpNumber y hacer una petición al end point vulnerable. Un ataque dirigido simplemente requiere que un atacante sepa el mpNumber de la víctima ".
La vulnerabilidad se conoce como una vulnerabilidad de referencia de objeto indirecto, poniendo en peligro los datos referenciados por el parámetro. Las respuestas devuelven los datos recordLocator junto con el apellido del cliente, información suficiente Westergren dijo, para permitir un ataque de gestionar cualquier reservación de vuelo.
"Esto incluye el acceso a todas las salidas del vuelo, llegadas, el recibo de pago de la reservación (forma de pago y los últimos 4 dígitos de la tarjeta de crédito), información personal sobre los pasajeros (números de teléfono, contactos de emergencia), y la capacidad de cambiar/cancelar el vuelo" escribió en un blog explicando la situación.
A mediados de julio, Westergren fue informado que el problema ya había sido reportado y por lo tanto no era elegible para una recompensa. No obstante, Westergren continuó presionando a United para un parche sólo para que la aerolínea respondiera que sólo quien la reporto originalmente recibiría actualizaciones.
Posteriormente United validó la vulnerabilidad en agosto y septiembre, dijo que estaba "en cola" para ser reparada. Pero para el 5 de noviembre, la vulnerabilidad aún no había sido arreglada y Westergren informo a United de su intención de divulgarla el 28 de noviembre, seis meses después de la divulgación inicial. United respondió que estaba inundado con reportes de su programa y recordó que realizar una revelación pública lo descalificaría permanentemente, quien luego fue a un contacto de los medios de comunicación con la historia y sólo entonces, dijo, después contactar a United con la publicación, el parche fue acelerado.
"Se me informó de que el error era una presentación por duplicado. La política de United es de otorgar sólo al primer presentador (esto es bastante estándar para los programas de recompensas) ", dijo Westergren. "United no me comprobó que así fuera, ni tampoco creo que estuviera bajo ninguna obligación de hacerlo."
Westergren no es ajeno a descubrir vulnerabilidades en aplicaciones web y móviles. Ha sido acreditado con la búsqueda de errores en software de automatización del hogar Z-Way, aplicación de Marriott Android móvil, aplicación móvil MyFIOS de Verizon , y la aplicación móvil de fitness Pal MyFitness. Él dijo que esto no era su primer experiencia negativa con un proveedor en divulgación de errores, aunque era la primera dificultad que ha tenido con una recompensa de errores.
"El hecho de que había un programa de recompensas de errores involucrada, al menos desde mi punto de vista, era en gran medida irrelevante - incluyendo la recompensa. Tengo la misma responsabilidad con todas las relaciones de los proveedores, independientemente de la existencia de un programa de recompensas de errores ", dijo Westergren. "Dicho esto, creo que las recompensas por errores son positivas en general para la comunidad de seguridad - esta experiencia no cambia eso para mí."
Más información en su blog.
