知名航空公司和酒店通常有自己的常旅客或所谓忠诚度(积分)奖励计划,许多此类计划的数字基础设施(包括达美航空的“飞凡里程常客计划”、美联航的前程万里(MileagePlus)、希尔顿的荣誉客会和万豪旅享家)都搭建在Points.com的平台上,后端系统和服务套件包括API也都由Points.com提供。
其中一个漏洞允许研究人员从PointsAPI基础设施的一个部分遍历到另一个内部系统,进而能够查询奖励计划客户订单。该系统包含2200万条订单记录,其中包含客户奖励帐号、地址、电话号码、电子邮件地址和部分信用卡号码等数据。Points.com对系统一次可以返回的响应数量进行了限制,这意味着攻击者无法立即转储整个数据库。但研究人员指出,随着时间的推移,查找特定个人或慢慢从系统中吸取数据是可能的。
研究人员发现的另一个漏洞是API配置问题,攻击者可能仅凭姓名和会员编号即可为任何用户生成帐户授权令牌。这两条数据可以来自以前的数据泄漏事件,也可以通过利用第一个漏洞获取。有了这个令牌,攻击者就可以接管客户帐户,并将里程或其他奖励积分转移给自己,从而“掏空”受害者的帐户。
研究人员还发现另外两个类似的漏洞,其中一个仅影响维珍航空的VirginRed常旅客计划,另一个仅影响美联航的前程万里常旅客计划。(Points.com已经修复了这两个漏洞)
最重要的是,研究人员在Points.com全球管理网站中还发现了一个漏洞,其中分配给每个用户的加密cookie使用了易于猜测的秘密(“秘密”一词本身,即secret)进行加密,这使得研究人员可以轻松解密Points.com的cookie,重新分配网站的全局管理员权限,重新加密cookie,并可开启“上帝模式”访问任何积分奖励系统,甚至授予帐户无限里程或其他好处。
Points发言人CarrieMumford在一份声明中表示:“作为我们正在进行的数据安全活动的一部分,Points最近与一群熟练的安全研究人员合作,研究系统中潜在的网络安全漏洞。”“没有证据表明这些信息存在恶意或滥用行为,安全研究人员访问的所有数据均已被销毁。与任何负责任的披露一样,Points在得知该漏洞后立即采取行动,解决并修复所报告的问题。我们的补救措施已经通过第三方网络安全专家的审查和验证。”
发现漏洞的研究人员证实,Points的修复措施有效,而且Points在解决这些披露问题方面反应非常积极且协作。该小组之所以发掘Points的系统漏洞,部分原因是长期以来对忠诚奖励计划的内部运作感兴趣,其中一位安全研究人员本人甚至经营着一个优化里程和销售机票的旅游网站。该事件也从侧面表明安全研究人员开始将关注重点放在那些向众多企业或机构提供共享基础设施的行业平台上。
与此同时,越来越多的不法分子也开始将行业关键业务平台作为重点目标,进行供应链攻击并开展间谍活动,或发现广泛使用的软件和设备中的漏洞并利用它们进行网络犯罪攻击。
“我们正在努力寻找高影响力的系统和平台,因为这些平台一旦遭到攻击者入侵,可能会造成重大损失,”Curry说:“我认为很多公司掌握了超过预期的海量数据和系统,但他们不一定会认真评估自己的数据安全能力。”
转自GoUpSec,原文链接:https://mp.weixin.qq.com/s/c2ezQSA7u-eOd1rSK-xYFQ
封面来源于网络,如有侵权请联系删除