Уязвимость в популярном сервисе путешествий
- Проблема безопасности затронула множество поставщиков услуг авиакомпаний
- Уязвимость могла использоваться для доступа к аккаунтам пользователей и изменения их бронирований
- Функция была выявлена и устранена
Популярный сервис путешествий для бронирования отелей и аренды автомобилей оказался подвержен уязвимости, которая позволяла злоумышленникам завладеть аккаунтами пользователей. Об этом говорится в новом отчете компании Salt Labs, занимающейся безопасностью API.
Эта уязвимость давала возможность злоумышленникам легко бронировать отели, арендовать автомобили и менять информацию о бронированиях. Более того, поскольку сервис интегрирован в множество онлайн-сервисов коммерческих авиакомпаний, злоумышленники могли также тратить бонусные баллы пассажиров.
Кража сессионных данных
Вот как может выглядеть теоретическая атака: злоумышленник создаёт специальную ссылку и отправляет её жертве через обычные каналы, такие как электронная почта. Жертва кликает на ссылку, которая ведет на сайт аренды, где будет предложено войти с использованием данных службы авиакомпании.
После того, как жертва вводит свои данные, платформа аренды генерирует вторую ссылку и перенаправляет пользователя обратно на сайт авиакомпании для входа через OAuth.
OAuth (Open Authorization) — это открытый стандарт для безопасной делегации доступа, позволяющий приложениям получать доступ к данным пользователя на другом сервисе без предоставления их учетных данных.
Злоумышленники получают через манипуляцию с ссылкой ответ на аутентификацию, включая сессионный токен пользователя, который позволяет им получить доступ к платформе.
Поскольку манипулированная ссылка использует легитимный домен клиента, а изменения происходят только на уровне параметров, такие атаки трудно обнаружить с помощью стандартных методов проверки доменов или списков блокировки/разрешения, пояснили исследователи.
Компания Salt Labs представила свои выводы в пострадавший сервис, который подтвердил наличие уязвимости и выпустил исправление.
Источник: TechRadar
