通过检查管理多家航空公司和豪华酒店忠诚度计划的 Points.com 平台,网络安全研究人员发现了一些缺陷,这些缺陷原本可以让他们享受免费机票和酒店住宿。
谁说的黑客攻击仅用于渗透政府?或者非法收回电子书和视频游戏?也许黑客只是想旅行并住在舒适的酒店里。只不过他们错过了机会。的网络安全研究人员、Ian Carroll、Shubham Shah 和 Sam Curry 发现了重大安全漏洞,允许劫持航空公司和酒店忠诚度计划。
我们正在谈论著名的“里程”,这些积分是我们在整个飞机旅程中积累的,一段时间后就会变成免费机票。酒店之夜也是如此。对于 Sam Curry 来说,惊喜来自于“有一个忠诚度计划的核心实体,世界上几乎所有主要品牌都在使用这个实体”。事实上,平台积分网管理许多航空公司和酒店集团的忠诚度系统:法国航空、荷兰皇家航空、阿联酋航空、希尔顿、汉莎航空……名单很长。
黑客可以从免费飞机旅行和酒店住宿中受益
通过深入研究该平台的结构,研究人员发现了一个漏洞,允许黑客从客户帐户检索所有数据(身份、电子邮件、地址等)。通过利用另一个漏洞,黑客可以创建仅包含姓氏和忠诚度积分数量的识别令牌,访问帐户并抽取您的积分。更糟糕的是:团队注意到 Points.com 为每个用户提供了一个加密的 cookie(这是正常的),但是破译它的关键是……“秘密”这个词。我们见过更糟糕的密码,但我们已经看到了更好的。
接到警报后,管理该网站的公司迅速纠正了所有指出的缺陷。检查后,她还声称他们没有受到剥削。他们的纠正得到了研究人员本人和其他网络安全专家的验证和验证。如果您利用忠诚度计划,则无需担心,您的积分受到保护。
