La aerolínea de bandera australiana Qantas se disculpó con los viajeros después de que un fallo en su aplicación móvil permitiera temporalmente a algunos clientes ver los vuelos y los detalles de las reservas de otros viajeros frecuentes en dos ocasiones distintas.
La aerolínea dijo que no se expuso ninguna información financiera y que ningún usuario pudo transferir o utilizar puntos de viajero frecuente pertenecientes a otros. Además, nadie pudo abordar un vuelo utilizando la tarjeta de embarque de otro cliente, ni tampoco se intentó hacerlo.
“Pedimos disculpas sinceras a los clientes afectados por el problema con la aplicación Qantas esta mañana, que ya se ha resuelto”, dijo Qantas en un comunicado.
“Las investigaciones actuales indican que fue causado por un problema tecnológico y puede haber estado relacionado con cambios recientes en el sistema. En este momento, no hay indicios de un incidente de seguridad cibernética”.
El problema surgió por primera vez poco antes de las 9 a. m. en Australia el 1 de mayo de 2024 (12 a. m. BST) y varios usuarios informaron que de repente podían ver y aparentemente modificar las reservas de otros. El problema se resolvió a las 7:50 a. m. BST. Se desconoce cuántos ciudadanos o residentes del Reino Unido, si es que hubo alguno, se vieron afectados.
Aunque Qantas ha declarado que el incidente no fue el resultado de una interferencia directa de actores amenazantes, el incidente ciertamente constituye una violación de datos grave, y es posible que si alguien con intenciones maliciosas hubiera accedido a los datos de otra persona, podría haberlos utilizado para un ciberataque posterior contra ese individuo. La aerolínea ha aconsejado a los viajeros que estén alerta ante la posibilidad de estafas y fraudes.
Ted Miracco, director ejecutivo de Approov, especialista en seguridad de aplicaciones móviles, dijo que, como tal, el incidente era muy preocupante. “El problema descrito sugiere un problema importante con la forma en que se manejan las sesiones y los datos de los usuarios dentro de la aplicación. La interfaz de programación de aplicaciones (API) procesa o valida incorrectamente tokens de sesión, lo que genera acceso no autorizado a los datos.
“La exposición de dicha información personal, incluidos los detalles de la reserva, los números de viajero frecuente y las tarjetas de embarque, plantea riesgos y responsabilidades graves. Los datos podrían utilizarse para robo de identidad, estafas de phishing o acceso no autorizado a más información personal.
“Tal violación debería tener importantes implicaciones legales y de cumplimiento, particularmente según las regulaciones de protección de datos como la Ley de Privacidad de Australia (APA) o GDPR, si algún ciudadano de la UE se ve afectado, u otras leyes de privacidad locales, dependiendo de la nacionalidad de los pasajeros afectados. ”, añadió.
La seguridad de las API se ha convertido en un gran problema gracias a la ubicuidad de las API, cuyo uso crece aproximadamente un 200 % cada año. Hay pocas piezas de código escritas en los últimos años que de alguna manera no exponen o consumen una API, y gracias a su importancia crítica, naturaleza dispersa y tendencia a generar conflictos entre desarrolladores y equipos de seguridad, se han convertido en un importante vector de ataque. para los ciberdelincuentes. De hecho, uno de los ciberataques más importantes de los últimos años que ha explotado API fue un incidente de 2022 que afectó a otra organización australiana, la empresa de telecomunicaciones Optus, que expuso los datos de millones de clientes.
Cambios en el sistema
Si el incidente realmente surgió después de un cambio fallido en el sistema, Qantas se une a una lista cada vez mayor de organizaciones que han experimentado problemas similares en las últimas semanas. En marzo de 2024, varios nombres destacados en la calle principal del Reino Unido, incluida la cadena de comida rápida McDonald’s y la sociedad de construcción Nationwide, experimentaron cortes importantes después de que se cometieron errores durante los trabajos de actualización de rutina.