Cybersecurity-onderzoekers hebben details bekendgemaakt van een nu afgestemde kwetsbaarheid van het account overnam die een populaire online reisservice voor hotel- en autoverhuur beïnvloedt.
“Door deze fout te exploiteren, kunnen aanvallers ongeautoriseerde toegang krijgen tot het account van elke gebruiker binnen het systeem, waardoor ze zich effectief kunnen voordoen als het slachtoffer en een scala aan acties namens hen uitvoeren – inclusief het boeken van hotels en autoverhuur met behulp van de loyaliteitspunten van het slachtoffer, annuleren Of het bewerken van boekingsinformatie, en meer, “zei API -beveiligingsbedrijf Salt Labs in een rapport gedeeld met het Hacker News.
Succesvolle exploitatie van de kwetsbaarheid had miljoenen online gebruikers van luchtvaartmaatschappijen in gevaar kunnen brengen, voegde het eraan toe. De naam van het bedrijf is niet bekendgemaakt, maar het zei dat de service is geïntegreerd in “tientallen commerciële luchtvaartmaatschappij online services” en stelt gebruikers in staat om hotelboekingen toe te voegen aan hun reisschema.
De tekortkoming, in een notendop, kan triviaal worden bewapend door een speciaal vervaardigde link te verzenden die kan worden gepropageerd via standaarddistributiekanalen zoals e-mail, sms-berichten of aan aanvallers gecontroleerde websites. Klikken op de link is voldoende voor de dreigingsacteur om de controle over het account van het slachtoffer te kapen zodra het inlogproces is voltooid.
Sites die de huurservice van de huurprijs integreren, hebben de optie om in te loggen op de laatste met behulp van de referenties die zijn gekoppeld aan de luchtvaartmaatschappij, op welk punt het huurplatform een link genereert en de gebruiker terugleidt naar de website van de luchtvaartmaatschappij om de authenticatie via OAuth te voltooien.
Zodra het aanmelding succesvol is, worden de gebruikers doorgestuurd naar een website die zich hecht aan het formaat “
De aanvalsmethode bedacht door Salt Labs omvat het omleiden van de authenticatie -reactie van de luchtvaartmaatschappij, die de sessietoken van de gebruiker omvat, naar een site onder controle van de aanvaller door een parameter “tr_returnurl” te manipuleren, waardoor ze effectief toegang hebben tot het account van het slachtoffer in een niet -geautoriseerde manier, inclusief hun persoonlijke informatie.
“Aangezien de gemanipuleerde link een legitiem klantendomein gebruikt (met manipulatie die alleen op het parameterniveau plaatsvindt in plaats van het domeinniveau), maakt dit de aanval moeilijk te detecteren via standaard domeininspectie of blocklist/toegestane methoden,” zei beveiligingsonderzoeker Amit Elbirt.
Salt Labs heeft service-to-service interacties beschreven als een lucratieve vector voor API-supply chain-aanvallen, waarbij een tegenstander zich richt op de zwakkere link in het ecosysteem om in te breken in systemen en particuliere klantgegevens te stelen.
“Afgezien van de blootstelling aan gegevens, kunnen aanvallers acties uitvoeren namens de gebruiker, zoals het maken van bestellingen of het wijzigen van accountgegevens,” voegde Elbirt toe. “Dit kritieke risico benadrukt de kwetsbaarheden in integraties van derden en het belang van strenge beveiligingsprotocollen om gebruikers te beschermen tegen ongeautoriseerde accounttoegang en manipulatie.”
