Blog

ALERTA: Posible brecha de seguridad en booking.com, cuidado con tus tarjetas de crédito. ¿Magecart?

Hola a todos, desde CronUp queremos dejar una alerta de seguridad, ya que en estos días hemos conocido varios casos de fraude con tarjetas de crédito, luego de haber sido utilizadas unicamente en booking.com

Los antecedentes:

  • 5 personas hacen reservas por separado, ingresando los datos de sus tarjetas de crédito en el sitio web, a distintos destinos y distintos hoteles/cabañas (estos son los casos conocidos por nosotros).
  • A todos se les hacen cobros en las tarjetas de crédito utilizadas al día siguiente (máximo dos), incluyen compras/pagos en el extranjero.
  • Las reservas fueron realizadas entre el 11 y el 28 de Enero 2019, todas.
  • Booking envía correos con el asunto: «Hemos bloqueado tu cuenta de booking.com por motivos de seguridad».

Creemos que la fuga de información podría venir desde una filtración de cuentas de usuarios de Booking o de un ataque de tipo web skimmer como lo que hace el grupo Magecart.

Pero primero: ¿Que es Magecart?

Para entender que es el grupo Magecart, la técnica que utilizan y como fue el último ataque realizado este 2019, les dejo la noticia: https://unaaldia.hispasec.com/2019/01/magecart-infecta-de-nuevo-cientos-de-webs-de-comercio-electronico.html

Normalmente el grupo Magecart cuando compromete un sitio web de comercio electrónico, inserta código malicioso después para capturar la información del pago realizado. Así es como en el pasado lograron acceder a la información bancaria de los clientes de las plataformas Ticketmaster, British Airways y Newegg.
Sin embargo, investigadores de RiskQ y Trend Micro descubrieron cómo esta vez, en lugar de comprometer directamente webs de comercio electrónico, insertaron código JavaScript en una librería alojada en una compañía de publicidad francesa llamada Adverline. Lo que permitió interceptar la información de pago de todos los sitios web que usaban esta librería.
Hacemos una revisión sobre el sitio web primero para comprobar que no existe un IOC conocido de Magecart en las 121 conexiones que realiza la web (incluidos sitios de terceros) una vez que se ingresa. Los resultados automatizados pueden verse en: https://urlscan.io/result/3194b237-271a-4928-9275-e912e53b8420#summary.

Independiente de la reputación que puedan tener esas IP’s (algunas son informadas como Maliciosas) no se evidencia la inclusión de los script conocidos de Magecart en los archivos que utiliza el sitio.

Se hacen pruebas manuales y revisión del flujo al momento de generar/anular una reserva y cuando se ingresan o modifican los datos de una tarjeta almacenada en la cuenta. Tampoco es posible comprobar la inyección de código.

Se debe considerar, que la nueva generación de este ataque es capaz de borrar logs y eliminarse automáticamente de los sitios web para evadir la detección. También aumentan la complejidad de ofuscación de su código en cada ataque.

La otra teoría

También es posible, que un grupo de ciberdelincuentes haya logrado capturar múltiples cuentas de usuarios (vulnerabilidad, fuerza bruta, filtración, etc) y este haciendo uso de los datos de las tarjeta para realizar fraude a través de compras o pagos en linea.

Cabe recordar además que existe un panel de acceso para los partners (hoteles) desde donde se pueden visualizar las reservas y los datos de las tarjetas de créditos, también podría ser el punto de la fuga:

https://partnerhelp.booking.com/hc/es/articles/360000764307–C%C3%B3mo-puedo-acceder-a-los-datos-de-las-tarjetas-de-cr%C3%A9dito-de-los-clientes-

Recomendaciones de seguridad

Con el afán de que no te veas afectado sugerimos:

  • Si tienes cuenta en Booking.com, modifica tu clave de acceso a la brevedad.
  • Si tienes una tarjeta de crédito guardada, eliminala del sitio y por precaución realiza el bloqueo con tu Banco.
  • Si reservaste en estos días revisa tu estado de cuenta por si tienes cobros desconocidos en tu tarjeta y toma precauciones.
  • Trata siempre de ocupar las opciones de seguridad que te entrega tu Banco, para las operaciones con tu Tarjeta.

Esta es una investigación en desarrollo, pero consideramos nuestro deber compartir la información a la comunidad para que no sean víctimas de este incidente.

Esperamos se haga un comunicado oficial por parte de Booking, con los cuales hemos tomado contacto para informar los hechos y obtener más antecedentes.

Este articulo será actualizado con la llegada de nueva información,

Saludos.

Share on facebook
Share on linkedin
Share on twitter
Share on email
Share on whatsapp

Artículos Relacionados

Invitación

Invitación: DevSecOps Spain 2021

Como ya muchos de nosotros sabemos, DevOps es un conjunto de prácticas y herramientas que combinan el desarrollo de software

Últimos Artículos

Últimos Tweets

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad