Jelentős kockázatot hordozó biztonsági rés keletkezett a Booking.com weboldalán, ami a regisztrált felhasználókra nézve jelentett veszélyt, többek között a felhasználók nevében foglalhattak be szállásokat – írja a Biztonságportál.
Tavaly év végén a Salt Security átfogóan vizsgálta a Booking.com oldalát, a biztonsági hibát ekkor fedezték fel. A hiba lehetővé tette, hogy annak kihasználásával illetéktelenek vegyék át a már regisztrált felhasználók fiókjai felett az irányítás. Az észlelést követően a Booking.com fejlesztői 2 héten belül kiküszöbölték a problémát.
Hitelesítési probléma állt a biztonsági hiba hátterében
A felmerült problémát vélhetően a Booking.com egyik autentikációs mechanizmusa, egész pontosan a facebookos OAuth hitelesítési eljárás nem megfelelő implementálása okozta.
A jelek szerint nem történt visszaélés a biztonsági hiba fennállása alatt, azonban ha egy hacker kihasználta volna a kínálkozó lehetőséget, úgy a szállásfoglaló portál regisztrált felhasználóinak fiókjai felett teljes hozzáféréshez jutott volna az alábbiak szerint:
- regisztrált felhasználó személyes és pénzügyi adataihoz való hozzáférés
- szállás foglalása/lemondása a felhasználó nevében
- szálláson nyújtott egyéb szolgáltatás megrendelése
A Salt Security tájékoztatása szerint ilyen hiba fennállásakor és egy esetleges támadás esetén a hackernek el kell érnie, hogy a felhasználó egy speciálisan szerkesztett linkre kattintson. Ezután amikor a felhasználó bejelentkezik a Booking.com-ra, a hacker már könnyedén hozzájuthat az OAuth hitelesítéskor használt autentikációs kódhoz, amivel a fent említett visszaélések bármelyike elkövethető.