Veszélyes hibát orvosolt a Booking.com
Egy kockázatos biztonsági rést foltoztak be a Booking.com fejlesztői. A hiba a regisztrált felhasználók adatait veszélyeztette.
A Salt Security biztonsági csapata a Booking.com weboldalát vette alaposan szemügyre még a múlt év végén. Mindezt nem hiába tette, hiszen a vizsgálatok során egy jelentős kockázatot hordozó biztonsági hibára akadt, amelynek kihasználásával átvehetővé vált a regisztrált felhasználók fiókjai feletti irányítás.
A biztonsági cég december elején jelezte a felfedezését a Booking.com csapatának, és a javítás 1-2 héten belül vált elérhetővé. Vagyis a sérülékenység most már nem jelent kockázatot, de az eset néhány érdekes tanulsággal azért így is szolgál.
A nyilvánosságra hozott technikai részletek szerint a sebezhetőséget a Booking.com egyik authentikációs mechanizmusa rejtette, és az OAuth nem megfelelő implementálására volt visszavezethető. Az OAuth rengeteg helyen használatos egyebek mellett a Facebook vagy a Google fiókokkal történő hitelesítésekhez. Ezúttal a facebookos OAuth hitelesítési eljárásról derült ki, hogy egy nem megfelelő kivitelezés miatt felhasználói fiókok voltak kiszolgáltatottak.
Amennyiben egy feketekalapos hackernek sikerült volna kihasználnia a hibát, akkor a célkeresztbe állított fiókhoz teljes hozzáférést szerezhetett. Így hozzájuthatott volna a felhasználó személyes és pénzügyi adataihoz is. Emellett szállást foglalhatott vagy mondhatott volna le egyéb szolgáltatások igénylése mellett. Mindezt a kiszemelt felhasználó nevében. A biztonsági hiba a Kayak.com weboldalt is érintette, mivel az támogatja a Booking.com fiókokkal történő felhasználói hitelesítést.
A Salt Security beszámolója szerint a szóban forgó sérülékenység kihasználásához a támadónak azt kellett elérnie, hogy a felhasználó rákattintson egy speciálisan szerkesztett linkre, majd a Booking.com-ra történő bejelentkezéskor megkaparinthatta az OAuth hitelesítés során használt authentikációs kódot. Ezzel pedig visszaélhetett a Booking.com mobil appján keresztül.
Arra utaló jel egyelőre nincs, hogy a biztonsági hibát korábban kiberbűnözők kihasználták volna.
-
A PAN-OS-hez egy újabb hibajavítás érkezett.
-
Az Adobe egy soron kívüli hibajavítást adott ki a Adobe ColdFusion alkalmazáshoz.
-
A Xen egy közepes veszélyességű sérülékenységtől vált meg.
-
A GitHub CLI egy biztonsági javítást kapott.
-
Újabb, magas kockázatú biztonsági hibára derült fény az Apache Tomcatben.
-
Kritikus veszélyességű hibákat javított a Sophos a tűzfaljának kapcsán.
-
A Trend Micro Deep Security Agent for Windows egy biztonsági hibát rejt.
-
A Google Chrome legújabb verziója négy biztonsági hibajavítással érkezett.
-
A Fortinet kritikus veszélyességű hibáról adott tájékoztatást.
-
Az Apache Tomcat két sebezhetőséget tartalmaz.
Találkoztál már az online térben adathalászokkal? Estél már áldozatául vírusoknak, hackereknek? Ismered az online veszélyeket és védekezel is ellenük?
Az ESET HOME Security legújabb verziója új és továbbfejlesztett funkciókkal véd a személyazonosságlopás, az adathalászat és más fenyegetések ellen.
