Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • OAuth Redirect Fow in Airline Travel Integration Expone millones al secuestro de cuentas
  • Tecnología

OAuth Redirect Fow in Airline Travel Integration Expone millones al secuestro de cuentas

teknomers 28 de Ocak de 2025 (Last updated: 28 de Ocak de 2025) 4 minutes read
OAuth Redirect Fow in Airline Travel Integration Expone millones al


28 de enero de 2025Ravie Lakshmanan

Los investigadores de ciberseguridad han revelado los detalles de una vulnerabilidad de adquisición de cuentas ahora repleta que afecta a un servicio de viajes en línea popular para alquileres de hoteles y automóviles.

“Al explotar este defecto, los atacantes pueden obtener acceso no autorizado a la cuenta de cualquier usuario dentro del sistema, permitiéndoles hacerse pasar por la víctima y realizar una variedad de acciones en su nombre, incluida la reserva de hoteles y alquileres de automóviles utilizando los puntos de lealtad de la aerolínea de la víctima, cancelando o editar información de reserva y más “, la firma de seguridad API Salt Labs dicho En un informe compartido con The Hacker News.

La explotación exitosa de la vulnerabilidad podría haber puesto en riesgo a millones de usuarios de aerolíneas en línea. El nombre de la compañía no fue revelado, pero dijo que el servicio está integrado en “docenas de servicios en línea de aerolíneas comerciales” y permite a los usuarios agregar reservas de hoteles a su itinerario aéreo.

Ciberseguridad

La deficiencia, en pocas palabras, se puede armarse trivialmente enviando un enlace especialmente elaborado que puede propagarse a través de canales de distribución estándar como correo electrónico, mensajes de texto o sitios web controlados por atacantes. Hacer clic en el enlace es suficiente para que el actor de amenazas secuestre el control de la cuenta de la víctima tan pronto como se complete el proceso de inicio de sesión.

Los sitios que integran el servicio de reserva de alquiler tienen la opción de iniciar sesión en este último utilizando las credenciales asociadas con el proveedor de servicios de la aerolínea, momento en el que la plataforma de alquiler genera un enlace y redirige al usuario al sitio web de la aerolínea para completar la autenticación a través de OAuth.

Una vez que el inicio de sesión es exitoso, los usuarios están dirigidos a un sitio web que se adhiere al formato “..sec, “Desde donde pueden usar los puntos de lealtad de sus aerolíneas para reservar hoteles y alquileres de automóviles.

El método de ataque ideado por Salt Labs implica redirigir la respuesta de autenticación del sitio de la aerolínea, que incluye el token de sesión del usuario, a un sitio bajo el control del atacante manipulando un parámetro “tr_returnurl”, permitiéndoles acceder a la cuenta de la víctima en un no autorizado manera, incluida su información personal.

Ciberseguridad

“Dado que el enlace manipulado utiliza un dominio legítimo del cliente (con la manipulación que ocurre solo a nivel de parámetros en lugar del nivel de dominio), esto hace que el ataque sea difícil de detectar a través de la inspección del dominio estándar o los métodos de lista de bloques/alquiler”, dijo el investigador de seguridad Amit Elbirt.

Salt Labs ha descrito las interacciones de servicio a servicio como un vector lucrativo para los ataques de la cadena de suministro de API, en el que un adversario se dirige al eslabón más débil en el ecosistema para entrar en sistemas y robar datos privados de clientes.

“Más allá de la mera exposición de datos, los atacantes pueden realizar acciones en nombre del usuario, como crear pedidos o modificar los detalles de la cuenta”, agregó Elbirt. “Este riesgo crítico destaca las vulnerabilidades en las integraciones de terceros y la importancia de los estrictos protocolos de seguridad para proteger a los usuarios del acceso y la manipulación no autorizados de la cuenta”.

¿Encontró este artículo interesante? Séguenos Gorjeo  y LinkedIn Para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: OTAN El país en ahora la libertad está en juego
Next: El departamento psiquiátrico Den Dolder se cierra después de la inspección arquitectónica, ‘extraña coincidencia’

Related Stories

¿Cansado de pagar por ChatGPT, Claude y Gemini? Este software
  • Tecnología

¿Cansado de pagar por ChatGPT, Claude y Gemini? Este software a menos de 22€ lo soluciona de por vida.

teknomers 10 de Temmuz de 2026
Volotea aumentaba el precio de los billetes después de la
  • Tecnología

Volotea aumentaba el precio de los billetes después de la compra, una práctica que ha disparado la represión de fraudes.

teknomers 10 de Temmuz de 2026
IA generativa: el boicot ante los límites del sector
  • Tecnología

IA generativa: el boicot ante los límites del sector

teknomers 10 de Temmuz de 2026

You May Have Missed

  • Cultura

« Nos preguntamos hasta dónde va a llegar »: por qué la explosión de audiencias de Nova sorprende al mundo de la radio

teknomers 10 de Temmuz de 2026
  • Deporte

Inglaterra vs India: Sophie Ecclestone hace historia mientras rinde homenaje a quienes la precedieron

teknomers 10 de Temmuz de 2026
  • General

Cita del Día de Hoy: Sabiduría atemporal sobre el trabajo duro: Cita del Día de J.G. Holland: “Dios le da a cada ave su alimento, pero no…” — Sabiduría atemporal sobre el trabajo duro, la fe, la perseverancia y la responsabilidad personal que continúa inspirando a millones, mostrando por qué el éxito pertenece a quienes toman acción.

teknomers 10 de Temmuz de 2026
¿Cansado de pagar por ChatGPT, Claude y Gemini? Este software
  • Tecnología

¿Cansado de pagar por ChatGPT, Claude y Gemini? Este software a menos de 22€ lo soluciona de por vida.

teknomers 10 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.