Salt Labs tarafından yapılan tehdit araştırmasına göre, Booking.com’un Açık Yetkilendirme (OAuth) uygulamasındaki kritik güvenlik açıkları, saldırganların büyük ölçekli hesap ele geçirmeleri başlatmasına olanak tanıyarak milyonlarca kişinin hassas kişisel verilerini riske atmış olabilir.
Endüstri standardı bir sosyal oturum açma protokolü olan OAuth, kullanıcıların sosyal medya hesapları aracılığıyla sitelerde oturum açmasına olanak tanır, ancak Salt Labs araştırmacıları, Booking.com’un yetkilendirme sırasındaki belirli adımları manipüle ederek oturumları ele geçirebileceklerini ve hesap ele geçirebileceklerini keşfettiler.
Bu şekilde kişilerin hesaplarının tam kontrolünü ele geçirmek, saldırganların kişisel olarak tanımlanabilir bilgileri ve diğer hassas kullanıcı verilerini sızdırmasına ve ayrıca rezervasyon yapmak veya iptal etmek de dahil olmak üzere kullanıcı adına herhangi bir işlem yapmasına olanak tanırdı.
Araştırmacılar, Booking.com’a Facebook aracılığıyla giriş yapacak şekilde yapılandırılan herkesin savunmasız olacağını ve özelliğin popülaritesi ve sitenin her ay 500 milyona kadar ziyaretçisi olduğu gerçeği göz önüne alındığında, milyonlarca kişinin etkilenebileceğini söyledi. başarılı istismar.
Tehdit, saldırganların daha sonra kardeş şirketin Kayak.com kullanıcı hesaplarına erişmek için güvenliği ihlal edilmiş Booking.com oturum açma bilgilerini kullanabilmesi gerçeğiyle daha da arttı.
Salt Security’de araştırmadan sorumlu başkan yardımcısı Yaniv Balmas, “OAuth hızla endüstri standardı haline geldi ve şu anda dünya çapında yüzbinlerce hizmet tarafından kullanılıyor” dedi.
“Sonuç olarak, OAuth’un hatalı yapılandırmaları, değerli verileri kötü aktörlere açık bıraktığından hem şirketler hem de müşteriler üzerinde önemli bir etkiye sahip olabilir. Güvenlik açıkları herhangi bir web sitesinde olabilir ve hızlı ölçeklendirmenin bir sonucu olarak birçok kuruluş, platformlarında var olan sayısız güvenlik riskinden habersizdir.”
Uygulama programlama arayüzü (API) güvenlik şirketi Salt Security’nin araştırma kolu olan Salt Labs, güvenlik açıklarını keşfettikten sonra Booking.com ile koordineli ifşa uygulamalarını takip etti ve tüm sorunlar düzeltildi. Kusurların vahşi ortamda istismar edildiğine dair hiçbir kanıt yok.
Bir Booking.com sözcüsü, “Salt Security’den raporu aldıktan sonra ekiplerimiz bulguları hemen inceledi ve Booking.com platformunda herhangi bir taviz olmadığını belirledi ve güvenlik açığı hızla çözüldü” dedi.
“Müşteri verilerinin korunmasını son derece ciddiye alıyoruz. Tüm kişisel verileri yalnızca en yüksek uluslararası standartlara uygun olarak işlemekle kalmıyor, aynı zamanda halihazırda sahip olduğumuz sağlam güvenlik önlemlerini değerlendirip geliştirirken platformumuzda optimum güvenliği sağlamak için süreçlerimizi ve sistemlerimizi sürekli olarak yeniliyoruz.
“Bu taahhüdün bir parçası olarak, küresel güvenlik topluluğuyla işbirliğini memnuniyetle karşılıyoruz ve Bug Bounty Programımız bu durumlarda kullanılmalıdır.”
Araştırmacılar ayrıca, hesapların ele geçirilmesini sağlamak için üç farklı güvenlik sorununu nasıl bir araya getirebildiklerini anlatan, güvenlik açığının ve nasıl istismar edildiğinin ayrıntılı bir teknik dökümünü yayınladılar.
“Bu belgede açıklanan güvenlik açığı, üç küçük güvenlik açığının birleşimidir. Odaklanmanın çoğu, saldırganın redirect_uri için başka bir yol seçmesine izin veren ilk güvenlik açığı üzerindedir” dediler.
“Facebook veya başka bir satıcıyla entegrasyon yaptığınızda, Facebook yapılandırmasında redirect_uri için sabit kodlanmış yollar sağlamak son derece önemlidir.”
Göre API güvenlik raporunun salt güvenlik durumu, 2022 3. ÇeyrekSalt müşterileri, API saldırı trafiğinde %117 artış yaşarken, genel API trafiği %168 arttı
Büyüme trendi, isimleri, adresleri, doğum tarihlerini, telefon numaralarını, e-posta adreslerini ve ehliyet ve pasaportu gören Avustralyalı telekom şirketi Optus’a yapılan son saldırı da dahil olmak üzere, bu yıl API trafiğiyle bağlantılı artan sayıda yüksek profilli olay gördü. çalınan ve fidye için alıkonulan 11 milyon müşteriyle ilgili veriler – kapsamı o kadar ciddi bir olay ki, Avustralya hükümeti şimdi telekomünikasyon güvenlik düzenlemelerini değiştirmeyi planlıyor.