Veszélyben voltak a Booking.com felhasználói

by Polisor Bettina

Jelentős kockázatot hordozó biztonsági rés keletkezett a Booking.com weboldalán, ami a regisztrált felhasználókra nézve jelentett veszélyt, többek között a felhasználók nevében foglalhattak be szállásokat – írja a Biztonságportál.

Tavaly év végén a Salt Security átfogóan vizsgálta a Booking.com oldalát, a biztonsági hibát ekkor fedezték fel. A hiba lehetővé tette, hogy annak kihasználásával illetéktelenek vegyék át a már regisztrált felhasználók fiókjai felett az irányítás. Az észlelést követően a Booking.com fejlesztői 2 héten belül kiküszöbölték a problémát.

Hitelesítési probléma állt a biztonsági hiba hátterében

A felmerült problémát vélhetően a Booking.com egyik autentikációs mechanizmusa, egész pontosan a facebookos OAuth hitelesítési eljárás nem megfelelő implementálása okozta.

A jelek szerint nem történt visszaélés a biztonsági hiba fennállása alatt, azonban ha egy hacker kihasználta volna a kínálkozó lehetőséget, úgy a szállásfoglaló portál regisztrált felhasználóinak fiókjai felett teljes hozzáféréshez jutott volna az alábbiak szerint:

  • regisztrált felhasználó személyes és pénzügyi adataihoz való hozzáférés
  • szállás foglalása/lemondása a felhasználó nevében
  • szálláson nyújtott egyéb szolgáltatás megrendelése

A Salt Security tájékoztatása szerint ilyen hiba fennállásakor és egy esetleges támadás esetén a hackernek el kell érnie, hogy a felhasználó egy speciálisan szerkesztett linkre kattintson. Ezután amikor a felhasználó bejelentkezik a Booking.com-ra, a hacker már könnyedén hozzájuthat az OAuth hitelesítéskor használt autentikációs kódhoz, amivel a fent említett visszaélések bármelyike elkövethető.

Adatvédelmi tájékoztatónkban megtalálod, hogyan gondoskodunk adataid védelméről. Oldalainkon HTTP-sütiket használunk a jobb működésért. Elfogadom Bővebben