Si le preguntas a un amigo si está bien si su fecha de nacimiento sea conocida por un extraño, probablemente va a hacer una broma al respecto; “solo si me envían un regalo de cumpleaños”. Pero, ¿qué pasa cuando se trata del número de pasaporte?, pregunta un investigador de seguridad de la información.

Ahora imagina que tratas de facturar tu vuelo en línea y ves el mensaje de error “Esta reserva no existe”. Luego, la persona del centro de llamadas repite las mismas palabras. Esto tiene que ser un error! Usted verifica su correo electrónico, y allí hay una confirmación por correo electrónico de la cancelación. Pero no lo hiciste. Este no es un escenario descabellado que esto realmente sucedió.

Una organización con un Producto Digital primario que carece incluso de las prácticas básicas de seguridad de datos está viviendo en un mundo utópico donde las personas dejan su caja fuerte abierta y nunca esperan que ingrese un ladrón.

El año pasado, mientras un experto en seguridad de la información reservaba viajes para mi familia, se topó con algunas prácticas de seguridad de datos que, como defensor de la seguridad de la información, le causan preocupación. Cuando el experto expresó las inquietudes al equipo de Emirates, esta conversación tuvo lugar:

Para una persona normal, cuando reserve su vuelo a través de Emirates, nacional o internacional, hay aproximadamente 300 puntos de datos relacionados con su reserva.

En el momento en que hace clic en administrar preferencias para seleccionar un asiento o comida para su viaje o para registrarse en su vuelo, su ID de reserva y su apellido se transmiten a aproximadamente 14 seguidores diferentes de terceros como Crazy egg, Boxever, Coremetrics, Google y Facebook, entre otros, dijeron especialistas en seguridad de la información.

Detalles

• Después de completar la reserva en Emirates, recibí una confirmación por correo electrónico.
• El cuerpo del correo electrónico contenía Administrar reserva. El experto en seguridad de la información procedió a seleccionar asientos y comidas haciendo clic en el botón Administrar reserva y llegó a la página Administrar preferencias. Esto fue bastante sencillo.
• Mientras que como usuario, vio el comportamiento normal de hacer clic en un enlace y llegar a la página de destino “Administrar preferencias”, en el fondo se produjo una cadena de redirección.
• Si bien se suponía que el enlace Administrar reserva era exclusivo para él (el usuario y el sitio web), este enlace también se compartió con numerosos rastreadores de terceros implementados por Emirates en sus páginas web.

Se ha hablado de la inseguridad de HTTP una y otra vez, especialmente cuando se trata de mantener la autenticidad del contenido y la protección contra intrusos. Pero, en resumen, los enlaces HTTP son una pesadilla de privacidad de datos. Por lo tanto, Emirates no solo transmitía la información del usuario a los rastreadores de terceros auto aplicados, sino que también permitía que los adversarios de la red tuvieran acceso a la página supuestamente “Privada”.

¿A qué tipo de información pueden acceder terceros?

Cualquiera que tenga acceso a estos enlaces no solo puede leer, sino también editar la información.

Por ejemplo, ahora pueden:

• Cambiar o cancelar vuelo
• Cambiar asiento o preferencia de comida
• Añadir más productos a la reserva
• Cambiar o agregar información de pasaporte
• Cambiar o agregar información de viajero frecuente, etc.

Nota: En octubre de 2017, campos como el número de pasaporte, la identificación del correo electrónico y el número de teléfono se enmascararon en la interfaz de usuario, pero no se ofuscaron en el código fuente. La aplicación web se ha renovado desde entonces y estos campos ahora están ofuscados.

Campos enmascarados en texto sin formato. (Octubre de 2017)

El profesional de seguridad de la información dio un vistazo a la aplicación móvil para ver si el pasado se pone al día con el presente. Número de pasaporte, ID de correo electrónico y número de teléfono en texto sin formato. Lo que estaba ofuscado en la aplicación web era de fácil acceso en la aplicación móvil.

Este problema no solo se limita a Emirates, muchas aerolíneas como Lufthansa, KLM (revisada por última vez en octubre de 2017) sufren los mismos problemas.

Cada sitio web utiliza rastreadores de terceros para mejorar sus productos y proporcionar una mejor experiencia de uso de la web. A menudo, las filtraciones de datos se consideran daños colaterales y, a veces, ni siquiera se tienen en cuenta mientras se implementan dichos rastreadores.

Emirates tiene el control de su sitio web y lo que el sitio web comparte con servicios de terceros. Es este control el que debe ejercerse para limitar la fuga de información del usuario

La mayoría de estos terceros están presentes en muchos otros sitios web y usan identificadores a largo plazo, como cookies, etc. para rastrear a los usuarios en todos los dominios. Ahora, debido a que uno de los sitios web, en este caso Emirates, filtra información privada, estas compañías ahora pueden no solo vincular la actividad del usuario a través de la web, sino también identificar quién es el usuario.

Las preguntas que necesitan respuesta de Emirates (y otras) son: ¿Por qué mi información de reserva se transmitió a estos terceros sin mi consentimiento explícito? ¿Por qué estos terceros necesitan recibir esta información? ¿Sabe Emirates que la información sensible del usuario se está filtrando a estos terceros? ¿Quiénes son estos terceros? ¿Qué están haciendo con la información del usuario?

Como consecuencia del comportamiento responsable, al descubrir estos graves fallos de seguridad que violan la privacidad de los datos del usuario, el experto en seguridad de la información decidió señalarlos a Emirates a través de Twitter DM en octubre de 2017. Tenga en cuenta que no pudo encontrar un canal dedicado para informar los errores en el sitio web de Emirates.

El equipo de medios sociales respondió de inmediato a su cuenta de Twitter con una respuesta enlatada, pero no estaba listo para perder la esperanza. El analista de seguridad de la información también escribió un correo electrónico al Gerente de Producto destacando los defectos de seguridad. Se encontró con un silencio ensordecedor.

A día (2018-03-03) muchos de estos problemas aún persisten.

Esta es una grave violación de la privacidad, no tiene sentido durante todo el proceso de reserva, donde acordó compartir cualquiera de estos datos personales con cualquiera de estos sitios web.

La política de privacidad de Emirates no es muy clara. Menciona algunos de estos servicios, pero no todos o los datos que se comparten con ellos.

Lamentablemente, el investigador de seguridad de la información no pudo encontrar la manera de optar por no participar en este sistema proporcionado por Emirates. Finalmente tuvo que recurrir al uso de extensiones de navegador que preservan la privacidad.

Como analista de seguridad de la información entiendo la necesidad de utilizar servicios de terceros para optimizar y mejorar no solo el producto digital, sino también cómo el usuario interactúa con el producto.

No es el uso de servicios de terceros lo que preocupa en este caso, sino la implementación de estos servicios. Emirates tiene el control de su sitio web y lo que el sitio web comparte con servicios de terceros. Es este control el que debe ejercerse para limitar la fuga de información del usuario.

No es una tarea gigantesca, es solo una cuestión de compromiso para preservar el derecho básico a la privacidad.

El experto en seguridad de la información da unos ejemplos:

• Las páginas privadas deben tener meta etiquetas noindex.
• Limite la presencia de servicios de terceros en páginas privadas.
• Referrer-Policy en páginas con datos confidenciales.
• Implementar CSP y SRI. Incluso con una enorme huella de CSP de servicios de terceros, SRI no está habilitado en Emirates.com
• El usuario debe ser informado cuando la información sensible como el pasaporte, detalles de contacto, etc. se actualiza, edita o borra.
• Dominio para enviar correos electrónicos: track.emirates.email, debe tener un certificado válido. https://track.emirates.email/