Un fallo en la web del Hotel Marriot permite el acceso a los datos de los usuarios

Escrito por Adrián Crespo
Seguridad
1

Nadie duda que Internet hoy en día nos pone muy fáciles las cosas. Sin embargo, no solo somos los únicos que encuentran fácil la forma de cubrir las necesidades ya que los ciberdelincuentes también aprovechan cada oportunidad para realizar el robo de datos. En esta ocasión se ha detectado un problema de seguridad en la página web del Hotel Marriot que permite recopilar los datos de los usuarios de forma sencilla.

Además de datos privados, como la dirección, número del teléfono de contacto, o el correo electrónico, también se ha comprobado que la información relacionado con el pago de la reserva también queda al descubierto, o al menos las que se guarda en la base de datos de la cadena hotelera. Aunque no se ha concretado demasiado, todo parece apuntar que el problema se encuentra en la aplicación disponible para dispositivos Android y la página web de la cadena. El problema en la aplicación no solo permite recopilar los datos de reservas realizadas sin la necesidad de introducir ningún tipo de credenciales, sino que permite la lectura de los datos de otros clientes sin ningún tipo de restricción. El problema ha sido descubierto por Randy Westegren, miembro de XDA-Developers.

En el caso del navegador web, es posible recuperar los datos haciendo uso del ID asignado a nuestra reserva y decrementando su número, permitiendo esto el acceso al resto de reservas de otros usuarios sin ningún tipo de limitación. Sin embargo, el problema no acaba aquí.

El problema de seguridad en la página del Hotel Marriot permite la cancelación de la reserva

Además de los datos básicos para formalizar la reserva. se ha detectado que los datos del pago realizado también se pueden recuperar, mostrando la mayoría de los datos de la tarjeta de crédito utilizada.

Hotel Marriot problema de seguridad filtración de datos

Sin embargo, el problema que desborda el vaso sin lugar a dudas es que una tercera persona puede tomar el control de la reserva realizada. Es decir, una vez que se accede a esta utilizando el ID, esta persona podría realizar la cancelación de la reserva sin que nada ni nadie se lo impidiese, quedando demostrada la no existencia de cookies que controlan no solo el inicio de sesión, sino la realización de ciertas operaciones que son importantes.

De momento desde el hotel no se han pronunciado y por lo tanto ambos fallos siguen existiendo tanto en la web como en la aplicación Android, desconociendo como consecuencia cuándo se pondrá fin al problema.

Fuente | Softpedia