Снял номер, но остался за дверью: хакеры взломали популярную систему онлайн-бронирования
Как всего одна уязвимость поставила под угрозу отдых миллионов людей.
Исследователи в области кибербезопасности раскрыли детали уязвимости, позволяющей захватывать учётные записи пользователей популярного онлайн-сервиса для бронирования отелей и аренды автомобилей. Уязвимость, которую недавно исправили, могла привести к значительным рискам для миллионов путешественников.
Согласно отчёту Salt Labs, атакующие могли получить несанкционированный доступ к учётной записи пользователя, что позволяло им совершать действия от имени жертвы: бронировать отели и автомобили за счёт бонусных баллов лояльности, а также изменять или отменять действующую бронь. Уязвимость затрагивала сервис, интегрированный с десятками онлайн-сервисов коммерческих авиакомпаний, позволяя добавлять бронирование отелей в маршрут путешествия.
Для эксплуатации уязвимости злоумышленнику достаточно было отправить жертве специально сформированную ссылку, которая могла распространяться через электронную почту, текстовые сообщения или вредоносные сайты. Переход по такой ссылке позволял злоумышленнику перехватить управление учётной записью пользователя после завершения процесса авторизации.
В системе сервисов бронирования используется механизм авторизации через OAuth, при котором пользователи входили в систему с использованием учётных данных авиакомпании. После успешной авторизации пользователь перенаправлялся на веб-сайт, где можно было использовать бонусные баллы для бронирования.
Атака основывалась на перенаправлении ответа авторизации авиакомпании, содержащего сессионный токен пользователя, на сайт, контролируемый злоумышленником, посредством манипуляции параметром «tr_returnUrl». Это позволило атакующим получить доступ к личной информации пользователей и их учётным записям.
Особенность атаки заключалась в использовании легитимного домена клиента с изменением только параметров, а не самого домена, что затрудняло выявление угрозы через стандартные методы проверки доменов. Эксперты Salt Labs подчеркнули, что взаимодействие сервисов друг с другом создаёт привлекательную цель для атак на цепочку поставок API. Такие атаки позволяют злоумышленникам проникать в системы, похищать данные пользователей и выполнять действия от их имени.
Подобные случаи подчёркивают необходимость усиленных мер безопасности, особенно в вопросах защиты данных и предотвращения несанкционированного доступа в системах, использующих сторонние интеграции. Усиление контроля над API и параметрами перенаправления может помочь предотвратить аналогичные инциденты в будущем.