ÖZETLE
- Points.com’daki kusurlar, InfoSec araştırmacısı Sam Curry tarafından bildirildi.
- Points.com, birden fazla havayolu ve otel ödül programı için bir arka uç görevi görür.
- Dolandırıcılar saldırıya uğrasaydı, Points.com’daki sadakat programlarını manipüle edebilirdi.
- Points.com güvenlik açıklarını düzeltti ve şu anda tehlike oluşturmuyor.
Sadakat ödül sistemlerindeki kişisel verilerin güvenliğiyle ilgili endişeleri artıran yakın tarihli bir keşifte, siber güvenlik araştırmacıları, yaygın olarak kullanılan bir havayolu ve otel ödül platformu points.com’da bir dizi güvenlik açığı ortaya çıkardı.
tarafından gün ışığına çıkarılan güvenlik açıkları sam köri ve ekibi potansiyel olarak milyonlarca müşterinin kişisel bilgilerini tehlikeye atabilirdi.
Çok sayıda havayolu ve otel ödül programı için bir arka uç görevi gören Points.com, aynı zamanda sadakat puanlarının takas edilmesi ve kullanılması için bir platform işlevi de görür. Aralarında Ian Carroll ve Shubham Shah’ın da bulunduğu güvenlik araştırmacıları, birkaç aylık bir süre içinde adlar, adresler, e-postalar, telefon numaraları ve işlem ayrıntıları dahil olmak üzere hassas kullanıcı verilerine yetkisiz erişime izin verebilecek beş farklı güvenlik açığı belirledi.
Curry’ye göre Blog yazısı, özellikle endişe verici olan, bu güvenlik açıklarının hesaplar arasında sadakat puanlarının transferini kolaylaştırmış olabileceğiydi. Ek olarak, Sam Curry’ye göre, saldırganlar küresel bir yönetici web sitesine erişim sağlayarak puan verme, sadakat programlarını yönetme ve çeşitli idari eylemleri yürütme becerisi elde etmiş olabilir.
Araştırmacıların bulguları, Mart ayı başlarında keşfedilen ve 22 milyondan fazla sipariş kaydı içeren dahili bir API’ye erişim sağlamış olabilecek, kimliği doğrulanmamış bir HTTP yolu geçiş hatası içeriyordu.
Bu veritabanı, kısmi kredi kartı numaralarından müşteri yetkilendirme belirteçlerine kadar çok sayıda bilgiyi açığa çıkardı. Kusurlar, yanlış yapılandırılmış bir API’de, kullanıcılardan ödül puanları aktarmak için kullanılmış olabilecek bir yetkilendirme atlamasına kadar uzanıyordu.
Bu güvenlik açıklarının etkisi geniş kapsamlıydı ve tespit edilen hatalardan biri United Airlines’ı etkiledi. Bu özel kusur, bir saldırganın herhangi bir kullanıcı için yalnızca ödül numarasına ve soyadına sahip olarak bir yetkilendirme belirteci oluşturmasına izin verebilir. Sonuç olarak, bir saldırgan Milleri kendisine aktarabilir ve hatta MileagePlus ile ilgili çeşitli uygulamalarda üye olarak kimlik doğrulaması yapabilir.
Curry’nin ekibi, diğer ortak işletmeleri etkileyen zayıflıkları da keşfetti. points.com tarafından barındırılan bir Virgin ödül web sitesinin, API kimlik doğrulama bilgilerini sızdırarak bir saldırganın hesapları manipüle etmesine ve ödül programı ayarlarını değiştirmesine olanak sağladığı tespit edildi.
Ek olarak, araştırmacılar points.com küresel yönetim web sitesi için önemli yönetim işlevlerine yetkisiz erişim sağlayan “Flask oturum sırrını” içeren bir güvenlik açığı buldular.
Bu güvenlik açıklarının endişe verici sonuçlarına rağmen, Curry points.com’un raporlarına verdiği hızlı yanıtı övdü. Platformun güvenlik ekibi, ifşanın ardından yaklaşık bir saat içinde her sorunu derhal ele aldı. Etkilenen web siteleri, güvenlik açıkları başarıyla yamalanmadan önce iyileştirme için çevrimdışı duruma getirildi.
Sam Curry’den Daha Fazla Hack
- Otomotiv Endüstrisi Büyük API Güvenlik Açıklarına Maruz Kalıyor
- Chess.com’daki güvenlik açığı, 50 milyon kullanıcı kaydına erişime izin verdi
- Honda & Nissan Cars Uygulama Kusurları: VIN Numarasını Bilerek Hackleyin
- 55 Apple güvenlik açığı, iCloud hesabının ele geçirilmesi ve veri hırsızlığı riskine neden oldu