Programas de recompensas de viaje como los que ofrecen las aerolíneas y los hoteles, promocionan las ventajas específicas de unirse a su club sobre otros. Sin embargo, bajo el capó, la infraestructura digital para muchos de estos programas, incluidos Delta SkyMiles, United MileagePlus, Hilton Honors y Marriott Bonvoy, se basa en la misma plataforma. El backend proviene de la empresa de comercio de fidelización Points y su conjunto de servicios, incluida una amplia interfaz de programación de aplicaciones (API).
Pero los nuevos hallazgos, publicados hoy por un grupo de investigadores de seguridad, muestran que las vulnerabilidades en la API de Points.com podrían haberse aprovechado para exponer los datos de los clientes, robar la «moneda de lealtad» de los clientes (como millas) o incluso comprometer las cuentas de administración global de Points. para hacerse con el control de programas de fidelización completos.
Los investigadores, Ian Carroll, Shubham Shah y Sam Curry, informaron una serie de vulnerabilidades en Points entre marzo y mayo, y desde entonces se han solucionado todos los errores.
“La sorpresa para mí estuvo relacionada con el hecho de que existe una entidad central para los sistemas de lealtad y puntos, que utilizan casi todas las grandes marcas del mundo”, dice Shah. “Desde este punto, me quedó claro que encontrar fallas en este sistema tendría un efecto en cascada para todas las empresas que utilizan su backend de lealtad. Creo que una vez que otros piratas informáticos se dieron cuenta de que apuntar a Points significaba que podrían tener puntos ilimitados en los sistemas de lealtad, también habrían tenido éxito en apuntar a Points.com eventualmente”.
Un error involucró una manipulación que permitió a los investigadores pasar de una parte de la infraestructura de la API de Points a otra parte interna y luego consultar los pedidos de los clientes del programa de recompensas. El sistema incluía 22 millones de registros de pedidos, que contienen datos como números de cuentas de recompensas de clientes, direcciones, números de teléfono, direcciones de correo electrónico y números de tarjetas de crédito parciales. Points.com tenía límites en la cantidad de respuestas que el sistema podía devolver a la vez, lo que significaba que un atacante no podía simplemente volcar todo el tesoro de datos a la vez. Pero los investigadores señalan que habría sido posible buscar personas específicas de interés o extraer lentamente datos del sistema a lo largo del tiempo.
Otro error que encontraron los investigadores fue un problema de configuración de API que podría haber permitido a un atacante generar un token de autorización de cuenta para cualquier usuario con solo su apellido y número de recompensas. Estos dos datos podrían encontrarse potencialmente a través de infracciones pasadas o podrían tomarse explotando la primera vulnerabilidad. Con este token, los atacantes podrían apoderarse de las cuentas de los clientes y transferirse millas u otros puntos de recompensa, agotando las cuentas de la víctima.
Los investigadores encontraron dos vulnerabilidades similares al otro par de errores, uno de los cuales solo afectó a Virgin Red mientras que el otro solo afectó a United MileagePlus. Points.com también solucionó ambas vulnerabilidades.
Lo más significativo es que los investigadores encontraron una vulnerabilidad en el sitio web de administración global Points.com en el que una cookie cifrada asignada a cada usuario había sido cifrada con un secreto fácil de adivinar: la palabra «secreto» en sí. Al adivinar esto, los investigadores podrían descifrar su cookie, reasignarse privilegios de administrador global para el sitio, volver a cifrar la cookie y, esencialmente, asumir capacidades similares a las del modo dios para acceder a cualquier sistema de recompensa de Puntos e incluso otorgar millas ilimitadas a las cuentas u otros beneficios.