Vulnerabilidad puso en riesgo los datos de viajes de casi la mitad de los viajeros aéreos del mundo

Una vulnerabilidad en el sistema de reservas de vuelos de Amadeus, utilizado por el 44% de viajeros en todo el mundo cada año, puso en peligro datos de viaje de los pasajeros de al menos 141 grandes aerolíneas.

La industria de la aviación es una de las más rigurosas en cuanto a la seguridad. De hecho, es como mil veces más probable que te caigan un rayo a que te mueras en un accidente de avión (posibilidades de que te caiga un rayo: 1/13.000; de morir en un accidente de avión: 1 en 11.000.000). Y sin embargo, parece ser que la industria de la aviación no se protege a sí misma de los ceros y unos… 

Exactamente a diez años del Milagro del Río Hudson, Noam Rotem, un investigador en seguridad israelí, hizo pública una falla en Amadeus, responsablemente, después de haber trabajado con ellos para haber solucionado el problema. Un verdadero milagro de la seguridad informática, pues salvó los datos del 44% de todos los viajeros aéreos a nivel mundial.

Amadeus es un Global Distribution System, y también un CRS, un Computer Reservation System, un sistema centralizado para almacenar y recuperar información y conducir transacciones relacionadas a reservaciones de avión, hoteles, autos de alquiler, cruceros, trenes, etc. En particular, Amadeus sirve a 440 aerolíneas (144 mediante un Sistema de Servicio de Pasajeros), 90.000 agencias de viaje en 195 países, 100.000 hoteles, 30 compañías de arriendo de autos, 21 líneas de cruceros, 203 operadores de tours, 103 operadores de trenes y 23 aseguradoras de viaje.

Para poder individualizar las reservas, los CRS utilizan el Registro de Nombre de Pasajero o PNR, un registro que consiste en la información personal del pasajero y que contiene el itinerario de la reserva. El PNR sirve, entre otras cosas, para que las empresas de la industria puedan acceder a un código único de reserva.

”EL Hack”

Una de las aerolíneas que utiliza este CRS es EL AL, la aerolínea nacional israelí.

Al reservar, EL AL envía un link para chequear el PNR. Modificando el RULE_SOURCE_1_ID de este link se puede ver cualquier PNR, y así, acceder al nombre del pasajero y a sus vuelos asociados. Con el PNR y el nombre del pasajero, era posible loguearse en el portal de EL AL, hacer cambios, utilizar las millas de viajero frecuente, asignarlas a otra cuenta, actualizar el email y número telefónico del pasajero para hacer fechorías sin que éste se enterara jamás, que se podrían utilizar para cancelar/cambiar la reservación al llamar al callcenter.

Un script permitió averiguar que EL AL no tenía ninguna protección contra fuerza bruta. Así se podían averiguar los PNRs de cualquier pasajero.

Amadeus era también vulnerable a la fuerza bruta. No limitaban el número de peticiones, por lo que se podía correr un script que generara PNRs al azar, insertarlos en la página web vulnerable y esperar por la respuesta positiva, lo que ocurría, hallando PNRs de clientes reales.  Partes de cada PNR generado por Amadeus eran secuenciales, lo que hace más sencillo continuar con ataques dirigidos a pasajeros del mismo apellido o de un apellido similar. No habiendo límites de frecuencia, el investigador podía ejecutar tantas solicitudes por minuto como quisiera, acelerando el proceso. Esto afectaba a las 141 aerolíneas que utilizan Amadeus.

Al ser aproximada EL AL con la vulnerabilidad, tomaron cartas en el asunto al vuelo de inmediato, responsablemente. Amadeus, por su parte, también hizo lo suyo. “Estamos trabajando estrechamente con nuestros clientes y lamentamos cualquier interrupción que esta situación pueda haber causado”. “Trabajamos con nuestros clientes y socios en la industria para abordar la seguridad de PNR en general. La industria aérea se basa en los estándares de la IATA que se introdujeron para mejorar la eficiencia y el servicio al cliente a escala global”. ”Debido a que la industria trabaja en estándares comunes para la industria, incluido el PNR, las mejoras adicionales deben incluir la revisión y el cambio de algunos de los estándares, lo que requiere la colaboración de la industria”, agrega el comunicado. “En Amadeus, le damos la máxima prioridad a la seguridad y monitoreamos y actualizamos constantemente todos nuestros productos y sistemas”.

Lo cierto es que estos sistemas de registros de pasajeros están obsoletos y son arcaicos. El PNR, por ejemplo, fue creado hace décadas, siendo necesario para compartir internacionalmente los datos de los viajeros, pero nunca se consideró la seguridad en la escala que se necesita hoy en día.  De hecho, no existen estándares en la industria acerca de del contenido y la forma de los PNRs. Es el consenso entre los expertos en seguridad que estos sistemas debieran ser revisados, pues son lamentablemente inadecuados para mantener seguros los registros de pasajeros. Esto ya fue demostrado en una famosa charla en el 33c3, en 2016, por Karsten Nohl y Nemanja Nikodijevic.

Algunas de las aerolíneas que trabajan con Amadeus, y que fueron vulnerables a este ataque, son: Aegean Airlines, Air Canada, Air France, British Airways, Cathay Pacific, China Airlines, EL AL, Iberia, KLM, Korean Air, LACSA, Lufthansa, Malaysia Airlines, Qantas, Singapore Airlines, Southwest Airlines, Swiss International Airlines, TACA, TAM, etc. La lista es de aquí al cielo…