(https://i.postimg.cc/SRTbvVLr/Leak.png) (https://postimg.cc/q63Fts5h)
OneFly, un servicio de consolidación de viajes entre empresas (B2B), ha expuesto miles de registros confidenciales, incluyendo documentos de identidad, números de vuelo y datos completos de tarjetas de crédito.
Conclusiones clave:
OneFly expuso aproximadamente miles de documentos de identidad y tarjetas de pago a través de una instancia no segura.
Los datos filtrados incluyen nombres de pasajeros, fechas de nacimiento, detalles de vuelos, números completos de tarjetas de crédito y tokens de autenticación.
Los ciberdelincuentes pueden utilizar la información expuesta para el robo de identidad, fraude financiero, ataques de phishing y suplantación de identidad de agencias de viajes legítimas.
Los investigadores recomiendan que OneFly implemente controles de acceso, refine los procesos de registro y establezca listas blancas de IP.
El equipo de investigación de Cybernews descubrió recientemente miles de registros filtrados de nueve aplicaciones internas de Java Spring en tiempo real a través de la instancia de Elasticsearch. Según el equipo, los datos pertenecen a OneFly.
Esta empresa con sede en Hong Kong actúa como enlace entre las aerolíneas y las agencias de viajes en línea. Nos hemos puesto en contacto con OneFly para obtener comentarios y actualizaremos este artículo en cuanto recibamos una respuesta.
Nuestros investigadores observaron la filtración de información por primera vez a finales de octubre; las primeras entradas datan del 1 de octubre de 2025. Dado que Elasticsearch funciona mejor con datos en tiempo real, es probable que la filtración comenzara en octubre. Sin embargo, no hay forma de estar 100% seguros de la fecha exacta en que los datos se hicieron públicos.
Filtración de información de reservas de vuelos, que incluye información del pasajero, método de pago y detalles del vuelo
(https://i.postimg.cc/mrtD9kB2/Leaking-flight-booking-information.png) (https://postimg.cc/McJq2Wnh)
¿Qué registros se incluyen en la filtración de datos de OneFly?
Los registros que nuestro equipo descubrió abarcan una amplia gama de información personal identificable (PII), así como detalles sobre vuelos reservados. Según nuestro equipo, la filtración de datos de OneFly reveló:
Nombres de los pasajeros
Fechas de nacimiento
Detalles del documento de identidad
Números de vuelo
Precios de los billetes
Fechas
Aeropuertos de destino
Detalles completos de tarjetas de crédito
Tokens JWT
El único aspecto positivo es que el volumen de los datos más sensibles expuestos, documentos de identidad y tarjetas de pago, es bastante mínimo. Nuestros investigadores identificaron alrededor de 10 000 registros de identidad y 6000 tarjetas de pago.
Fuga del token de autenticación JWT del usuario interno
(https://i.postimg.cc/mZdYfzk8/internal-user-JWT-authentication-token.png) (https://postimages.org/)
Sin embargo, la información expuesta puede afectar gravemente a las personas cuyos datos quedaron desprotegidos. Los documentos de identidad, junto con otra información de identificación personal (PII), permiten a los atacantes robar la identidad de las víctimas.
Por otro lado, la exposición de números de tarjetas de pago, detalles de vuelos y otra información de viaje puede ocasionar pérdidas financieras debido al robo y numerosas estafas de viajes, además de un mayor riesgo de phishing. Con los datos filtrados, los ciberdelincuentes podrían suplantar la identidad de agencias de viajes de forma convincente.
"Además, los tokens de autenticación de usuarios internos expuestos pueden utilizarse para la suplantación de identidad de usuarios y obtener más información de los sistemas internos de la empresa, dado que Elastic registra regularmente los tokens válidos", explicó nuestro equipo.
Token JWT decodificado
(https://i.postimg.cc/sDkZspzC/Decoded-JWT-token.png) (https://postimages.org/)
Nuestros investigadores recomiendan a la empresa:
Configurar las reglas de control de acceso para restringir el acceso a los registros de aplicaciones al personal autorizado.
Refinar los procesos de registro para garantizar que la menor cantidad posible de información confidencial se incluya en los registros.
Implementar listas blancas de IP o medidas similares de restricción de acceso mientras se implementan las correcciones.
Fuga descubierta: 28 de octubre de 2025.
Divulgación inicial: 31 de octubre de 2025.
Contacto con el CERT: 12 de noviembre de 2025.
Fuente:
CyberNews
https://cybernews.com/security/onefly-data-leak-exposes-credit-cards/