API güvenlik şirketi Salt Security, Booking.com’daki birkaç kritik güvenlik açığını vurgulayan Salt Labs’tan yeni tehdit araştırması yayınladı. Booking.com tarafından kullanılan Açık Yetkilendirme (OAuth) sosyal oturum açma işlevinin uygulanmasında artık düzeltilen kusurlar bulundu ve bu, Facebook hesapları aracılığıyla sitede oturum açan tüm kullanıcıları etkileme potansiyeline sahipti.
OAuth yanlış yapılandırmaları, hem müşterilerin hesaplarında büyük ölçekli hesap devralmasına (ATO) hem de sunucu güvenliğinin ihlal edilmesine izin vererek, kötü aktörlerin platform kullanıcılarını hesapları üzerinde tam kontrol elde etmek için manipüle etmesine olanak sağlayabilirdi; siteler tarafından dahili olarak saklanan Kişisel Tanımlanabilir Bilgileri (PII) ve diğer hassas kullanıcı verilerini sızdırmak; veya kullanıcı adına rezervasyon yapmak veya rezervasyonları iptal etmek ve ulaşım hizmetleri sipariş etmek gibi herhangi bir işlem yapmak. Şirket, bu tür kusurların sosyal oturum açma özelliklerini kullanan diğer birçok web sitesini etkileyebileceğini söylüyor.
Salt Labs araştırmacıları, OAuth adlı endüstri standardı bir protokolle uygulanan Booking.com tarafından kullanılan sosyal oturum açma işlevinde güvenlik açıkları keşfetti. Web sitelerinde ve web hizmetlerinde popüler olan OAuth, kullanıcıların “geleneksel” kullanıcı kaydı ve kullanıcı adı/parola kimlik doğrulaması yerine tek tıklamayla sosyal medya hesaplarını kullanarak sitelerde oturum açmasına olanak tanır.
Salt Security Araştırmadan Sorumlu Başkan Yardımcısı Yaniv Balmas, “OAuth hızla endüstri standardı haline geldi ve şu anda dünya çapında yüzbinlerce hizmet tarafından kullanılıyor” dedi. “Sonuç olarak, OAuth’un hatalı yapılandırmaları, değerli verileri kötü aktörlere açık bıraktığından hem şirketler hem de müşteriler üzerinde önemli bir etkiye sahip olabilir. Güvenlik açıkları herhangi bir web sitesinde olabilir ve hızlı ölçeklendirmenin bir sonucu olarak birçok kuruluş, platformlarında var olan sayısız güvenlik riskinden habersizdir.”
OAuth, kullanıcılara web siteleriyle etkileşimde çok daha kolay bir deneyim sağlarken, karmaşık teknik arka ucu, istismar potansiyeli olan güvenlik sorunları yaratabilir. Salt Labs araştırmacıları, Booking.com sitesindeki OAuth dizisindeki belirli adımları manipüle ederek oturumları ele geçirebileceklerini ve hesap devralma (ATO) gerçekleştirebileceklerini, kullanıcı verilerini çalabileceklerini ve kullanıcılar adına eylemler gerçekleştirebileceklerini keşfettiler.
Facebook kullanarak oturum açmak üzere yapılandırılmış herhangi bir Booking.com kullanıcısı bu sorundan etkilenmiş olabilir. “Facebook ile giriş yap” seçeneğini kullanmanın popülaritesi göz önüne alındığında, milyonlarca kullanıcı bu sorun nedeniyle risk altında olabilirdi. Kayak.com (Aynı ana şirket olan Booking Holdings Inc.’in bir parçası), kullanıcıların Booking.com kimlik bilgilerini kullanarak oturum açmasına olanak tanıyarak bu güvenlik açıklarından etkilenen kullanıcı sayısını milyonlarca artırdığından etkilenmiş olabilir.
Salt Labs araştırmacıları, güvenlik açıklarını keşfettikten sonra Booking.com ile koordineli ifşa uygulamalarını izledi ve tüm sorunlar, bu kusurların vahşi ortamda istismar edildiğine dair hiçbir kanıt olmaksızın hızla düzeltildi. Booking.com şu açıklamayı yaptı:
“Salt Security’den raporu aldıktan sonra ekiplerimiz bulguları hemen araştırdı ve şu sonuca vardı: Booking.com platformunda herhangi bir taviz verilmemişti ve güvenlik açığı hızla çözüldü. biz alırız müşteri verilerinin korunması son derece ciddi. Tüm kişisel verileri yalnızca en yüksek düzeyde işlemekle kalmıyoruz. uluslararası standartlar, ancak optimum güvenliği sağlamak için süreçlerimizi ve sistemlerimizi sürekli olarak yeniliyoruz. Halihazırda sahip olduğumuz sağlam güvenlik önlemlerini değerlendirirken ve geliştirirken platformumuz. bunun bir parçası olarak taahhüt, küresel güvenlik topluluğuyla işbirliğini memnuniyetle karşılıyoruz ve Bug Bounty Programımız Bu durumlarda kullanılır.”
Salt Security API Güvenlik Durumu Raporu, Q3 2022’ye göre Salt müşterileri, API saldırı trafiğinde %117’lik bir artış yaşarken, genel API trafikleri %168 arttı. Salt Security API Koruma Platformu, şirketlerin OWASP API Güvenliği İlk 10’da listelenenler de dahil olmak üzere API’lerdeki riskleri ve güvenlik açıklarını saldırganlar tarafından istismar edilmeden önce belirlemelerine olanak tanır. milyonlarca kullanıcı ve API’yi temel almak için yapay zeka ve makine öğrenimi ile birleştirilmiş bulut ölçeğinde büyük veriler. Salt, tüm API yaşam döngüsü boyunca bağlama dayalı içgörüler sunarak, kullanıcıların kötü aktörlerin keşif faaliyetlerini tespit etmelerini ve hedeflerine ulaşmadan önce onları engellemelerini sağlar. Salt Labs ekibinin gerçekleştirdiği istismarlar, saldırıyı vurgulamak için Salt platformunu hemen tetikleyebilirdi.