Investigadores revelan que un error les permitió incluir pilotos falsos en las listas utilizadas para las verificaciones de la TSA.

Un par de investigadores en ciberseguridad han informado sobre una vulnerabilidad en los sistemas de inicio de sesión utilizados por la Administración de Seguridad en el Transporte (TSA) para verificar a los miembros de la tripulación de aerolíneas en los puntos de control de seguridad de los aeropuertos. Este fallo permitiría a cualquier persona con conocimientos básicos sobre inyecciones SQL agregarse a las listas de personal de vuelo, facilitando el paso sin problemas por la seguridad y el acceso a la cabina de un avión comercial.

Ian Carroll, uno de los investigadores, y su colega Sam Curry, encontraron la vulnerabilidad mientras examinaban el sitio web de un proveedor llamado FlyCASS, que ayuda a aerolíneas más pequeñas a acceder al sistema de Conocimiento de Tripulantes (KCM) de la TSA y al Sistema de Seguridad de Acceso a la Cabina (CASS). Al introducir un apóstrofe simple en el campo de usuario, obtuvieron un error de MySQL, lo cual era un indicio preocupante de que el nombre de usuario se interpolaba directamente en la consulta SQL de inicio de sesión.

Después de confirmar la inyección SQL utilizando una herramienta llamada sqlmap, lograron acceder al sistema FlyCASS como administradores de Air Transport International. Una vez dentro, Carroll indicó que no había más verificaciones ni autenticaciones que impidieran añadir registros y fotos de la tripulación para cualquier aerolínea que utilizara FlyCASS. Esto significaba que quienes al aprovechar esta vulnerabilidad podrían presentar un número de empleado falso para pasar por un punto de control de KCM.

Un portavoz de la TSA, R. Carter Langston, desmintió esta afirmación, asegurando que la agencia no depende únicamente de esta base de datos para autenticar a la tripulación de vuelo y que solo se permite el acceso a áreas seguras del aeropuerto a miembros de la tripulación verificados.

• ciberseguridad
• TSA
• inyección SQL