Siber güvenlik araştırmacıları, otel ve araba kiralamaları için popüler bir çevrimiçi seyahat hizmetini etkileyen şimdi paketlenmiş bir hesap devralma kırılganlığının ayrıntılarını açıkladılar.
“Bu kusurdan yararlanarak, saldırganlar sistemdeki herhangi bir kullanıcının hesabına yetkisiz erişim sağlayabilir, kurbanı taklit etmelerine ve kendi adına bir dizi eylem gerçekleştirmelerine izin verebilir – kurbanın havayolu sadakat noktalarını kullanarak otel ve araba kiralama rezervasyonu da dahil olmak üzere, Hacker News ile paylaşılan bir raporda API güvenlik firması Salt Labs.
Güvenlik açığının başarılı bir şekilde kullanılmasının milyonlarca çevrimiçi havayolu kullanıcısını riske atabileceğini de sözlerine ekledi. Şirketin adı açıklanmadı, ancak hizmetin “düzinelerce ticari havayolu çevrimiçi hizmetine” entegre edildiğini ve kullanıcıların havayolu güzergahına otel rezervasyonu eklemelerini sağladığını söyledi.
Kısacası, eksiklik, e-posta, metin mesajları veya saldırgan kontrollü web siteleri gibi standart dağıtım kanalları aracılığıyla yayılabilen özel hazırlanmış bir bağlantı göndererek önemsiz bir şekilde silahlandırılabilir. Tehdit oyuncusu, giriş işlemi tamamlanır tamamlanmaz kurbanın hesabının kontrolünü ele geçirmesi için bağlantıya tıklamak yeterlidir.
Kira rezervasyonu hizmetini entegre eden siteler, havayolu servis sağlayıcısıyla ilişkili kimlik bilgilerini kullanarak ikincisine giriş yapma seçeneğine sahiptir, bu noktada kiralama platformu bir bağlantı oluşturur ve OAuth aracılığıyla kimlik doğrulamasını tamamlamak için kullanıcıyı havayolunun web sitesine geri yönlendirir.
Oturum açma başarılı olduktan sonra, kullanıcılar formata bağlı bir web sitesine yönlendirilir “
Salt Labs tarafından tasarlanan saldırı yöntemi, kullanıcının oturum jetonunu içeren havayolu sitesinden kimlik doğrulama yanıtının, “TR_RETURNURL” parametresini manipüle ederek saldırganın kontrolü altındaki bir siteye yeniden yönlendirilmesini içerir. Kişisel bilgileri de dahil olmak üzere.
Güvenlik araştırmacısı Amit Elbirt, “Manipüle edilen bağlantı meşru bir müşteri alanı kullandığından (manipülasyon sadece alan seviyesi yerine sadece parametre düzeyinde meydana gelen manipülasyon ile), bu saldırının standart etki alanı denetimi veya blok listesi/izin listesi yöntemleri yoluyla tespit edilmesini zorlaştırıyor.” Dedi.
Salt Labs, hizmet-hizmet etkileşimlerini API tedarik zinciri saldırıları için kazançlı bir vektör olarak tanımlamıştır, burada bir düşman, ekosistemdeki sistemlere girip özel müşteri verilerini çalmak için daha zayıf bağlantıyı hedefler.
Elbirt, “Saldırganlar sadece verilere maruz kalmanın ötesinde, sipariş oluşturmak veya hesap ayrıntılarını değiştirmek gibi kullanıcı adına işlem yapabilir.” “Bu kritik risk, üçüncü taraf entegrasyonlardaki güvenlik açıklarını ve kullanıcıları yetkisiz hesap erişimi ve manipülasyonundan korumak için katı güvenlik protokollerinin önemini vurgulamaktadır.”