Millas aéreas gratuitas, puntos de hotel y datos de usuarios en riesgo por fallas en la plataforma de puntos – MundoDaily

Los programas de recompensas de viaje, como los que ofrecen las aerolíneas y los hoteles, promocionan las ventajas específicas de unirse a su club en comparación con otros. Sin embargo, detrás de escena, la infraestructura digital de muchos de estos programas, incluyendo Delta SkyMiles, United MileagePlus, Hilton Honors y Marriott Bonvoy, se basa en la misma plataforma. El backend es proporcionado por la empresa comercial de lealtad Points.com y su conjunto de servicios, que incluye una amplia interfaz de programación de aplicaciones (API).

Pero nuevos descubrimientos, publicados hoy por un grupo de investigadores de seguridad, muestran que las vulnerabilidades en la API de Points.com podrían haber sido explotadas para exponer los datos de los clientes, robar la «moneda de lealtad» del cliente (como millas) o incluso comprometer las cuentas de los clientes. Programas de lealtad.

Los investigadores, Ian Carroll, Shubham Shah y Sam Curry, informaron una serie de vulnerabilidades en Points entre marzo y mayo, y desde entonces se han corregido todos los errores.

“La sorpresa para mí estuvo relacionada con el hecho de que existe una entidad central para los sistemas de lealtad y puntos, que utilizan casi todas las grandes marcas del mundo”, dice Shah. “A partir de este momento, me quedó claro que encontrar fallas en este sistema tendría un efecto dominó para todas las empresas que utilizan su backend de lealtad. Creo que una vez que otros piratas informáticos se dieran cuenta de que apuntar a puntos significaba que podían tener puntos ilimitados en esquemas de lealtad, eventualmente también lograrían llegar a Points.com”.

Un error implicaba una manipulación que permitía a los buscadores pasar de una parte de la infraestructura de la API de Points a otra parte interna y luego consultar los pedidos de los clientes del programa de recompensas. El sistema incluía 22 millones de registros de pedidos, que contienen datos como números de cuentas de recompensas de clientes, direcciones, números de teléfono, direcciones de correo electrónico y números parciales de tarjetas de crédito. Points.com estableció límites sobre la cantidad de respuestas que el sistema podía devolver a la vez, lo que significa que un atacante no podía simplemente volcar todo el tesoro de datos a la vez. Pero los investigadores señalan que habría sido posible buscar personas específicas de interés o extraer lentamente datos del sistema a lo largo del tiempo.

Otro error que encontraron los investigadores fue un problema de configuración de API que podría permitir a un atacante generar un token de autorización de cuenta para cualquier usuario con solo su apellido y número de recompensa. Estos dos datos se pueden encontrar a través de infracciones anteriores o se pueden obtener explotando la primera vulnerabilidad. Con este token, los atacantes pueden tomar el control de las cuentas de los clientes y transferirse millas u otros puntos de recompensa, agotando las cuentas de las víctimas.

Los investigadores encontraron dos vulnerabilidades similares al otro par de errores, uno de los cuales solo afectaba a Virgin Red, mientras que el otro solo afectaba a United MileagePlus. Points.com también parchó estas dos vulnerabilidades.

Lo más significativo es que los investigadores descubrieron una vulnerabilidad en el sitio de administración global Points.com, en el que una cookie cifrada asignada a cada usuario se había cifrado con un secreto fácil de adivinar: la palabra «secreto» en sí. Al adivinar esto, los investigadores podrían descifrar su cookie, reasignarse privilegios de administrador global para el sitio, volver a cifrar la cookie y, esencialmente, recursos en modo Dios para acceder a cualquier sistema de puntos de recompensa e incluso otorgar millas ilimitadas u otros beneficios de la cuenta.