En esta ocasión se ha detectado un problema de seguridad en la página
web del Hotel Marriot que permite recopilar los datos de los usuarios de forma
sencilla.
Además de datos privados,
como la dirección, número del teléfono de contacto, o el correo electrónico,
también se ha comprobado que la información relacionado con el pago de la
reserva también queda al descubierto, o al menos las que se guarda en la base
de datos de la cadena hotelera. Aunque no se ha concretado demasiado, todo
parece apuntar que el problema se encuentra en la aplicación disponible para
dispositivos Android y la página web de la cadena. El problema en la aplicación
no solo permite recopilar los datos de reservas realizadas sin la necesidad de
introducir ningún tipo de credenciales, sino que permite la lectura de los
datos de otros clientes sin ningún tipo de restricción. El problema ha sido
descubierto por Randy Westegren, miembro de XDA-Developers.
En el caso del navegador
web, es posible recuperar los datos haciendo uso del ID asignado a nuestra
reserva y decrementando su número, permitiendo esto el acceso al resto de
reservas de otros usuarios sin ningún tipo de limitación. Sin embargo, el
problema no acaba aquí.
El problema de seguridad
en la página del Hotel Marriot permite la cancelación de la reserva
Además de los datos
básicos para formalizar la reserva. se ha detectado que los datos del pago
realizado también se pueden recuperar, mostrando la mayoría de los datos de la
tarjeta de crédito utilizada.
Sin embargo, el problema
que desborda el vaso sin lugar a dudas es que una tercera persona puede tomar
el control de la reserva realizada. Es decir, una vez que se accede a esta
utilizando el ID, esta persona podría realizar la cancelación de la reserva sin
que nada ni nadie se lo impidiese, quedando demostrada la no existencia de
cookies que controlan no solo el inicio de sesión, sino la realización de
ciertas operaciones que son importantes.
De momento desde el hotel
no se han pronunciado y por lo tanto ambos fallos siguen existiendo tanto en la
web como en la aplicación Android, desconociendo como consecuencia cuándo se
pondrá fin al problema.
Fuente: Softpedia