Mart 2023 ile Mayıs 2023 arasında points.com’da güvenlik açıkları bildirildi.
3 Ağustos 2023’te bir grup siber güvenlik araştırmacısı, bu Points.com API güvenlik açıklarını izinsiz girişin teknik ayrıntılarıyla birlikte herkese açık hale getirdi.
Bildirilen bu güvenlik açıkları aracılığıyla, saldırganlar hassas müşteri hesabı bilgilerine erişebilir, müşteri hesaplarından puan aktarabilir ve küresel bir yönetici web sitesine yetkisiz erişim elde edebilir.
Points.com, ödül puanlarını depolamak ve işlemek için neredeyse tüm büyük havayolu ve otel ödül programlarının arka uç sağlayıcısıdır.
Araştırmacılar—Ian Carroll, Shubham Shah ve Sam Curry—Mart ve Mayıs ayları arasında Points.com’da bir dizi güvenlik açığı bildirdiler ve o zamandan beri tüm hatalar düzeltildi.
Güvenlik Açığı Raporları
7 Mart 2023’te bildirdikleri ilk güvenlik açığı, saldırganın 22 milyon sipariş kaydını sorgulamasına izin verecek bir Dahili API’ye yönelik kimliği doğrulanmamış bir HTTP isteğiydi.
Bir siber güvenlik araştırmacısı olan Sam Curry, “Kayıtlardaki veriler, kısmi kredi kartı numaralarını, ev adreslerini, e-posta adreslerini, telefon numaralarını, ödül puan numaralarını, müşteri yetkilendirme jetonlarını ve çeşitli işlem ayrıntılarını içeriyordu” dedi.
7 Mart 2023’te bildirdikleri ikinci güvenlik açığı, bir yetkilendirme atlamasıydı.
Bir saldırganın, yanlış yapılandırılmış bir API aracılığıyla yalnızca soyadlarını ve ödül puan numaralarını bilerek diğer kullanıcıların havayolu ödül puanlarını çalmasına olanak tanır.
2 Mayıs 2023’te bildirdikleri üçüncü güvenlik açığı, Virgin Rewards Programı tarafından barındırılan bir uç noktada Sızan Kiracı Kimlik Bilgileri hakkında, Saldırganların Virgin Airways Adına API İsteklerini İmzalamasına olanak tanır (Ödül Puanı Ekleme/Kaldırma, Müşteri Hesaplarına Erişim, Ödül Programı Ayarlarını Değiştirme) , vesaire.)
29 Nisan 2023’te, özellikle United Airlines’ta, bir saldırganın yalnızca ödül numarasını ve soyadını bilen herhangi bir kullanıcı için bir yetkilendirme belirteci oluşturabileceği dördüncü güvenlik açığını belirlediler.
Bu güvenlik açığı, saldırganın MileagePlus yönetici paneli de dahil olmak üzere MileagePlus ile ilgili birden fazla uygulamada kendi kendine mil aktarmasına ve üye olarak kimlik doğrulamasına izin verebilir.
2 Mayıs 2023’te bildirdikleri son güvenlik açığı, bu sayede bir saldırganın global points.com yönetim konsoluna ve Sadakat cüzdanı yönetim paneline tam erişim elde etmesiydi.
Saldırgan, mevcut ödül programı kimlik bilgilerini iptal etmek ve havayolu ödülleri işlevini geçici olarak devre dışı bırakmak için bu erişimi kötüye kullanabilir.
Kapanış
Bu güvenlik açıklarını bildirdikten sonra points.com ekibi çok hızlı bir şekilde yanıt verdi ve her bir bildirimi bir saat içinde onayladı.
Kapsamlı incelemeler yapmak için etkilenen web sitelerini derhal çevrimdışına aldılar ve ardından belirlenen tüm sorunları yamaladılar. Bildirilen tüm güvenlik açıkları o zamandan beri düzeltildi, ”dedi Sam Curry ekibi.
Bizi GoogleNews, Linkedin üzerinden takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, twitterve Facebook.