Milyonlarca havayolu müşterisini potansiyel hesap devralmalarına maruz bırakan bir güvenlik açığı, kuruluşların yanlış yapılandırılmış OAuth kimlik doğrulama süreçlerinden elde edilen önemli riskleri vurguladı.
Bu durumda güvenlik açığı, otel ve araba kiralama için büyük bir çevrimiçi seyahat hizmetleri sağlayıcısını içeriyordu. Birçok havayolu bu hizmeti web sitelerine entegre etti ve müşterilerin havayolu noktalarını sadece uçuşları değil, aynı zamanda bir sorunsuz süreçte otel ve kiralık arabaları da rezerve etmek için kullanmalarına izin verdi.
OAuth uygulama kusuru
API tedarik zinciri saldırılarının gerçek dünyadaki örneklerini avlayan Salt Security’deki araştırmacılar, seyahat şirketinin ilk havayolu rezervasyonu yaptıktan sonra hizmetlerine erişmek isteyen kullanıcıları kimlik doğrulama sürecinde bir kırılganlığa rastladılar. Seyahat hizmetleri şirketinin o zamandan beri düzelttiği kusur, saldırganlara bir kullanıcının OAuth kimlik bilgilerini seçtikleri bir sunucuya yönlendirmenin bir yolunu verdi.
Kimlik bilgileri, saldırganların bir havayolunun web sitesinden geçerli bir oturum jetonu almasına ve bunu havayolu sadakat noktalarını kullanarak kurban olarak ve otel ve araba kiralama rezervasyonu olarak seyahat şirketinin sistemlerine giriş yapmak için kullanmasına izin verecekti.
Keşfedilen güvenlik açığı, saldırganların tek bir tıklamayla kurban hesaplarını ele geçirmesini sağladı, tuz güvenlik araştırmacısı Amit Elbirt bir blog yazısında yazdı Bu hafta, seyahat hizmetleri şirketinin kimliğini açıklamadan.
Devralma seyahat sağlayıcısının hizmeti içinde olmuş olsa da, bir saldırgana bir kurbanın depolanan bilgilerine havayolu şirketinin sitesindeki bilgileri, kişisel olarak tanımlama, kilometre ve ödül verilerini de dahil olmak üzere tam erişim sağlayacaktı. Elbirt, “Bu kritik risk, üçüncü taraf entegrasyonlardaki güvenlik açıklarını ve kullanıcıları yetkisiz hesap erişimi ve manipülasyonundan korumak için sıkı güvenlik protokollerinin önemini vurgulamaktadır.”
OAuth (Açık Kimlik Doğrulama), kullanıcıların şifrelerini paylaşmadan web siteleri veya uygulamalara diğer sitelerdeki bilgilerine erişim vermelerini sağlayan bir güvenlik protokolüdür. Tanıdık bir örnek, Google veya Facebook’u kullanarak bir web sitesine giriş yapmaktır (“Google ile Oturum Aç” veya “Facebook ile Giriş” bağlantılarını tıklayarak). Seyahat Hizmetleri Şirketi durumunda OAuth, kullanıcıların havayolu kimlik bilgilerini kullanarak şirketin sitesine giriş yapmalarını sağladı.
Salt Security bunu açıkladığı gibi, bir kullanıcı seyahat şirketinin sitesine erişmek için giriş düğmesine tıkladığında, otomatik olarak gerekli havayolu şirketinin kimlik doğrulaması için giriş sayfasına yönlendirilir. Tamamlandığında, havayolu sitesi seyahat şirketi sitesine bir yetkilendirme kodu gönderir ve bu da seyahat sitesinin erişim belirteci aldığı bir işlem başlatır. Seyahat sitesi daha sonra jetonu havayolu sitesinden kullanıcı verileri istemek için kullanır.
Doğrulama başarısızlığı
Tuz güvenliğinin keşfettiği şey, seyahat şirketinin kimlik doğrulama akışında, bir kullanıcının giriş bilgilerinin eşdeğerini kendi sunucularına yönlendirmenin bir yolunu veren bir zayıflıktı. Salt Security araştırma başkan yardımcısı Yaniv Balmas, “Buradaki özel sorun, seyahat şirketinin hassas kimlik doğrulama kimlik bilgilerinin geçerli bir alana gönderildiğini doğru bir şekilde doğrulamamasıdır.” Diyor. “Bu kusuru manipüle ederek, seyahat şirketini bu kimlik bilgilerini havayolu şirketi yerine bize göndermeye zorlayabiliriz, böylece bize – veya bunu kötüye kullanan kötü niyetli bir aktörün – havayolu kullanıcı hesabını devralmasına ve onların adına herhangi bir işlem yapmasına izin verebiliriz. . “
Kusurdan yararlanmak için, bir saldırgan, seyahat servis sağlayıcısıyla entegre havayolu sitelerinin kullanıcılarına e -posta veya kısa mesaj yoluyla geçerli bir havayolu bağlantısı gibi görünen kötü amaçlı bir bağlantı gönderirdi. Salt Security’ye göre, bir kullanıcı bağlantıyı tıklatıp resmi bir havayolu hizmetine başarıyla doğrulandığında, saldırgan seyahat sistemi içindeki kullanıcının hesabına tam erişim kazanır. “Mağdurun bakış açısından, gerçekten havayoluna ait olduğu için bağlantının kötü niyetli olduğunu anlamak neredeyse imkansız olurdu ve OAuth ve kimlik doğrulama akışlarını uzman düzeyinde bir anlayış olmadan kötü niyetli doğasını anlamanın kolay bir yolu yok” diyor.
Ortak mesele
Balmas, isimsiz seyahat şirketi ile savunmasızlığın, kişinin varsayabileceği daha yaygın olduğunu söylüyor. Örneğin, 2023’te tuz güvenliği, Booking.com’lar Saldırganlara otel rezervasyon sitesine giriş yapmak için Facebook hesaplarını kullanırken kullanıcı hesaplarını devralmak için bir yol veren OAuth uygulama süreci. Başka bir zaman, şirketten araştırmacılar Grammarly, Vidio ve Endonezya e-ticaret sitesi Bukalapak’ı içeren OAuth uygulama kusurları bulundu Bu, saldırganlara birden fazla web sitesinde yüz milyonlarca kullanıcı hesabına potansiyel erişim sağladı.
Balmas, “Buradaki en büyük sorun, havayolunun bakış açısından, bir saldırının meydana gelmesi durumunda kesinlikle görünürlük olmadığı ve aslında bir saldırı talebinin meşru olanla tamamen aynı görüneceği.” “Bu temel olarak üçüncü tarafın – bu durumda seyahat şirketi – müşteri kullanıcılarının güvenliğinden ve güvenliğinden sorumlu olduğu anlamına gelir.” Çoğu zaman, üçüncü bir tarafın müşterisi ile aynı güvenlik standartlarına sahip olacağına dair kesin bir şey olmadığını ekliyor.