Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
21 de Julio, 2015    General

Vulnerabilidad en el aeropuerto, sacando listados de viajeros

Últimamente se habla bastante de la seguridad en aeropuertos y aviones. Charlas en eventos como HiTB, RootedCON o T2, y además los medios de comunicación prestan atención a las detenciones de hackers que han confesado vulnerar la Wifi de servicio de un avión. 

La tecnología avanza a pasos agigantados y más en los aeropuertos, pero lo hace más deprisa que su propia seguridad, pese a todas las medidas de control que nos ponen a los viajeros. Es algo muy sensible, y toda una industria lucha por parecer más segura de lo que realmente es.

Cuando vas a un aeropuerto, difícilmente puede escapar de los kioskos o terminales automáticos que ayudan a realizar tu check-in. Equipos destinados a agilizar las largas colas en periodo vacacional, y que además sirven para sustituir al personal de tierra en los aeropuertos de medio mundo.

El otro día me disponía a emplear una de esas máquinas en Croacia. Volvía de vacaciones y me veía obligado a escanear mi pasaporte, ya que estos equipos incorporan un escáner que mediante OCR transcribe los datos del viajero y los vuelca en las bases de datos de las compañías.


Hasta aquí todo bien. El problema fue cuando el lector de la máquina que estaba empleando no funcionaba correctamente, y mis datos no eran incorporados de forma automática. Me solicitaba que acudiese al mostrador debido a un error en la lectura de datos de mi pasaporte.

En vez de ir al mostrador, traté de alguna forma de incluir mis datos en los campos obligatorios, pero iluso de mi, no se mostraba ningún escritorio por pantalla. Era OCR o nada.

Sin embargo, vi que al pulsar sobre cada uno de los campos, veía información de los viajeros. ¿WTF? 

Nombre, apellidos, nacionalidad, género, fecha de nacimientos, DNI/Pasaporte y fecha de expiración. Tenía la posibilidad de visualizar miles de datos de viajeros que habían escaneado sus pasaportes, y además por orden. Los últimos en registrar sus datos, aparecían los primeros (Last In Fisrt Out).


Es curioso como las pruebas de seguridad en las aplicaciones, se centran casi exclusivamente sobre el campo “password” para evitar el autofill, sin reparar muchas veces en el resto de campos. Está claro que la empresa IER ha olvidado que los datos personales son críticos, y esto es un ejemplo de Incidente de seguridad donde los datos personales quedan completamente expuestos.


Y es que con el “autofill” a pleno rendimiento, solo necesitas un rato para extraer todos los datos de los viajeros que emplearon el terminal. Un método discreto es emplear la cámara del móvil para grabar mientras en cada campo recorres el scroll. Ya habrá tiempo en casa de pasar los datos a limpio, y tener una base de datos bien organizada. No iba a resultar problemático o sospechoso, puesto que ahora con los billetes electrónicos, muchas veces se necesita introducir la referencia de vuelo o bien el escaneo de algún código QR proporcionado por la compañía, así que es habitual que la gente tenga el teléfono móvil en la mano mientras realiza su registro. 

De acuerdo al funcionamiento de la aplicación, la única forma de entrada de datos debe de ser por OCR, es decir, manualmente tan solo puede introducirse el Booking Reference, digamos el código único de tu registro. Y es por eso que habrán tenido semejante error, tanto en las fases de diseño, desarrollo y en las pruebas de QA.

Ni que decir tiene que tras ver eso, fui directamente al mostrador de la compañía para que me hiciesen el check-in allí mismo, no quería que mis datos quedaran registrados en los terminales automáticos.


Contribución por Anónimo

Palabras claves , ,
publicado por alonsoclaudio a las 23:06 · Sin comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>,
<li>· Lista</li>
CALENDARIO
Ver mes anterior Marzo 2024 Ver mes siguiente
DOLUMAMIJUVISA
12
3456789
10111213141516
17181920212223
24252627282930
31
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Analizando el LiveBox 2.1 de Orange
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Detectando tráfico de conexiones HTTP inversas de Meterpreter (Snort)
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Cómo espiar WhatsApp
595 Comentarios: Scott, Scott, Jarlinson mercy, [...] ...
» Qué hacer ante el robo de un teléfono móvil o una tableta
2 Comentarios: best buy security cameras swann, best buy security cameras swann
» Espiando usuarios gracias a la vulnerabilidad en cámaras TRENDnet
1 Comentario: Coin
» Recopilatorio de aplicaciones y sistemas vulnerables para practicar
2 Comentarios: vera rodrigez ...
» SoftPerfect WiFi Guard permite saber quién esta conectado a mi WiFi
2 Comentarios: firdous ...
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad