British Airways expone información personal y de vuelo de los pasajeros debido a una falla en el sistema de boletos electrónicos

Investigadores de seguridad descubrieron una falla de seguridad en el sistema de boletos electrónicos de British Airways. Esta falla podría conducir a la exposición de los datos de los pasajeros, incluidos los detalles de su vuelo y la información personal.

¿Que pasó?

Los investigadores descubrieron que los enlaces de verificación de vuelo enviados a los pasajeros por British Airways por correo electrónico no estaban cifrados. Esto abre la puerta a un ataque que podría exponer los números de referencia de reserva de pasajeros, números de teléfono, direcciones de correo electrónico y más de los pasajeros.

«En un esfuerzo por simplificar la experiencia del usuario, los detalles del pasajero se incluyen en los parámetros de URL que dirigen al pasajero desde el correo electrónico al sitio web de British Airways donde se registran automáticamente para que puedan ver su itinerario y registrarse para su vuelo.

«Los detalles del pasajero incluidos en los parámetros de URL son la referencia de reserva y el apellido, los cuales están expuestos porque el enlace no está encriptado», agregaron los investigadores.

Debido a la falta de encriptación, alguien en la misma red puede espiar fácilmente tales solicitudes para ver información sobre los pasajeros o incluso alterar su información de reserva.

¿Qué información estuvo expuesta?

La información expuesta incluye los nombres de los pasajeros, direcciones de correo electrónico, números de teléfono, números de membresía, números de referencia de reserva, itinerarios, números de vuelo, horarios de vuelo y números de asiento.

Los investigadores descubrieron esta falla en julio de 2019 e informaron a la aerolínea al respecto. Pero, recientemente, al momento de compartir su análisis, los investigadores declararon que la falla aún no se había solucionado.

¿Cuál es el impacto?

Según la estimación de los investigadores, se realizaron 2.5 millones de conexiones a los dominios afectados de British Airways en los últimos seis meses. Sin embargo, según British Airways, no se puede acceder a la información de pasaporte o pago explotando esta falla. La aerolínea también declaró que no hay evidencia de que se acceda ilegalmente a información de clientes.