Sigurnosna prijetnja za popularnu uslugu rezervacije hotela i iznajmljivanja automobila
Nedavna izvješća iz API sigurnosne tvrtke Salt Labs otkrila su ozbiljan sigurnosni propust u “popularnoj, vrhunskoj” usluzi za rezervacije hotela i iznajmljivanje automobila. Ovaj propust omogućava zlonamjernim korisnicima preuzimanje tuđih računa, što može dovesti do opasnih posljedica za milijune korisnika.
Uzrok problema
Prema izvješću Salt Labsa, napadači mogu iskoristiti ovaj propust kako bi jednostavno rezervirali hotelske sobe, iznajmili automobile i mijenjali informacije o rezervacijama. Ono što dodatno pogoršava situaciju je to da je ova usluga integrirana u “desetke” komercijalnih zračnih usluga, što omogućava napadačima da potroše bodove vjernosti zračnih kompanija i još mnogo toga.
Kako bi napad mogao izgledati?
U teorijskom scenariju napada, zlonamjerni akter stvara prilagođeni link i dijeli ga s žrtvom putem uobičajenih kanala, poput e-pošte. Kada žrtva klikne na link, preusmjerava je na uslugu iznajmljivanja, koja traži prijavu s podacima povezanima s uslugom zrakoplovne kompanije. U tom trenutku, platforma za iznajmljivanje generira drugi link i šalje žrtvu natrag na web stranicu zrakoplovne kompanije kako bi se prijavila koristeći OAuth (Open Authorization). OAuth je otvoreni standard za sigurno ovlaštenje, koji omogućava aplikacijama pristup podacima korisnika na drugoj usluzi bez otkrivanja njihovih vjerodajnica.
Težak za otkrivanje
Manipulirani link koristi legitimnu domenu kupca, a manipulacija se događa samo na razini parametara, što otežava otkrivanje napada putem standardnih metoda inspekcije domena ili crnih/bijelih lista. Istraživači su istaknuli ozbiljnost ove prijetnje naglašavajući da je potencialno pogođeno milijune korisnika, ali nisu željeli otkriti ime pogođene usluge.
Zaključak
Salt Labs je obavijestio pogođenu uslugu, koja je potvrdila postojanje propusta i implementirala ispravak. Ovaj incident naglašava važnost sigurnosti online usluga i potrebu za proaktivnim pristupom zaštiti korisničkih podataka. Korisnici se savjetuju da budu oprezni prilikom klikanja na linkove i da redovito ažuriraju svoje lozinke kako bi zaštitili svoje račune.
