透過檢視管理多家航空公司和豪華飯店忠誠度計畫的 Points.com 平台,網路安全研究人員發現了一些缺陷,這些缺陷原本可以讓他們享受免費機票和飯店住宿。
誰說的駭客攻擊僅用於滲透政府?或非法收回電子書和電玩遊戲?也許黑客只是想旅行並住在舒適的酒店裡。只不過他們錯過了機會。的網路安全研究人員、Ian Carroll、Shubham Shah 和 Sam Curry 發現了重大安全漏洞,允許劫持航空公司和酒店忠誠度計劃。
我們正在談論著名的“里程”,這些積分是我們在整個飛機旅程中累積的,一段時間後就會變成免費機票。酒店之夜也是如此。對 Sam Curry 來說,驚喜來自於「有一個忠誠度計畫的核心實體,世界上幾乎所有主要品牌都在使用這個實體」。事實上,平台積分網管理許多航空公司和酒店集團的忠誠度系統:法國航空、荷蘭皇家航空、阿聯酋航空、希爾頓、漢莎航空…名單很長。
駭客可以從免費飛機旅行和酒店住宿中受益
透過深入研究該平台的結構,研究人員發現了一個漏洞,允許駭客從客戶帳戶檢索所有數據(身分、電子郵件、地址等)。透過利用另一個漏洞,駭客可以建立僅包含姓氏和忠誠度積分數量的識別令牌,訪問帳戶並抽取您的積分。更糟的是:團隊注意到 Points.com 為每個使用者提供了一個加密的 cookie(這是正常的),但是破解它的關鍵是…「秘密」這個詞。我們看過更糟糕的密碼,但我們已經看到了更好的。
接到警報後,管理網站的公司迅速糾正了所有指出的缺陷。檢查後,她還聲稱他們沒有受到剝削。他們的糾正得到了研究人員本人和其他網路安全專家的驗證和驗證。如果您利用忠誠度計劃,則無需擔心,您的積分受到保護。
