Objavljeno: 7.8.2023 08:00 | Teme: varnost

Večina letalskih družb ima za "zbiranje milj" isti sistem – in ta je imel varnostno luknjo

Večina ljudi pozna programe zvestobe, ki jih imajo različne hotelske verige in letalski prevozniki, s katerimi nas vabijo k redni uporabi iste znamke. Malokdo pa ve, da vsi ti različni programi tečejo na istem sistemu, ki ga upravlja podjetje Points. Če bi v njem odkrili varnostno ranljivost, bi to predstavljalo tveganje za vse uporabnike. In to se je zdaj zgodilo.

Raziskovalci poročajo, da ima Points.com več različnih ranljivosti, ki jih lahko napadalci sorazmerno enostavno izkoristijo. Ian Carroll, Shubham Shah in Sam Curry so ugotovili, da je možno prek API za dostop do Points.com izpostaviti podatke uporabnikov, ukrasti nabrane ugodnosti (milje ali točke) in celo prevzeti administratorski nadzor nad celotnimi programi.

Ranljivosti so odkrili med marcem in majem, do danes pa so zakrpane, zato lahko o njih javno in podrobno govorijo. Eden izmed hroščev je omogočal pregled za 22 milijonov uporabnikov, njihova imena, naslove, elektronske naslove in dele številk kreditnih kartic. Drugi hrošč je omogočal ustvariti avtorizacijski žeton, s katerim so lahko prenašali ugodnosti med računi. Prav tako so odkrili, da je administratorski del strani uporabljal šifriranje, ki ni bilo dobro implementirano, zato je bila prijava trivialna.

Sam Curry

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji