Veszélyes hibát orvosolt a Booking.com

Szerző: Biztonságportál | Utolsó módosítás: 2023.03.06.
​Egy kockázatos biztonsági rést foltoztak be a Booking.com fejlesztői. A hiba a regisztrált felhasználók adatait veszélyeztette.
 

A Salt Security biztonsági csapata a Booking.com weboldalát vette alaposan szemügyre még a múlt év végén. Mindezt nem hiába tette, hiszen a vizsgálatok során egy jelentős kockázatot hordozó biztonsági hibára akadt, amelynek kihasználásával átvehetővé vált a regisztrált felhasználók fiókjai feletti irányítás.
 
A biztonsági cég december elején jelezte a felfedezését a Booking.com csapatának, és a javítás 1-2 héten belül vált elérhetővé. Vagyis a sérülékenység most már nem jelent kockázatot, de az eset néhány érdekes tanulsággal azért így is szolgál.
 
A nyilvánosságra hozott technikai részletek szerint a sebezhetőséget a Booking.com egyik authentikációs mechanizmusa rejtette, és az OAuth nem megfelelő implementálására volt visszavezethető. Az OAuth rengeteg helyen használatos egyebek mellett a Facebook vagy a Google fiókokkal történő hitelesítésekhez. Ezúttal a facebookos OAuth hitelesítési eljárásról derült ki, hogy egy nem megfelelő kivitelezés miatt felhasználói fiókok voltak kiszolgáltatottak.
 
Amennyiben egy feketekalapos hackernek sikerült volna kihasználnia a hibát, akkor a célkeresztbe állított fiókhoz teljes hozzáférést szerezhetett. Így hozzájuthatott volna a felhasználó személyes és pénzügyi adataihoz is. Emellett szállást foglalhatott vagy mondhatott volna le egyéb szolgáltatások igénylése mellett. Mindezt a kiszemelt felhasználó nevében. A biztonsági hiba a Kayak.com weboldalt is érintette, mivel az támogatja a Booking.com fiókokkal történő felhasználói hitelesítést.

 
A Salt Security beszámolója szerint a szóban forgó sérülékenység kihasználásához a támadónak azt kellett elérnie, hogy a felhasználó rákattintson egy speciálisan szerkesztett linkre, majd a Booking.com-ra történő bejelentkezéskor megkaparinthatta az OAuth hitelesítés során használt authentikációs kódot. Ezzel pedig visszaélhetett a Booking.com mobil appján keresztül.
 
Arra utaló jel egyelőre nincs, hogy a biztonsági hibát korábban kiberbűnözők kihasználták volna.
További hírek
Vélemények
 
Riasztások
  1. 3
    Drupal biztonsági rés

    A Drupal egyik modulja kapcsán egy biztonsági hibára derült fény.

  2. 3
    Apache Struts hibajavítások

    Az Apache Struts egy biztonsági hiba miatt kapott frissítést.

  3. 3
    LockBit.YJ

    A LockBit.YJ zsarolóvírus legújabb variánsa sem kíméli a fájlokat.

 

ESET Home Security Essential 1 eszköz 3 év Új licenc
39990 Ft
Bitdefender Total Security 1 év 5 eszköz
12990 Ft
Bitdefender Antivirus Plus 2 év 5 eszköz
13990 Ft
Partnerhírek
Minden, amit tudniuk kell, mielőtt használni kezdjük a ChatGPT-t.

Mielőtt megpróbáljuk kihasználni az innovatív AI eszközök előnyeit, meg kell tanulnunk biztonságosan, adataink veszélyeztetése nélkül igénybe venni azokat.

Elég okosak vagyunk egy okosotthonhoz?

Íme az ESET szakértőinek tanácsai arról, hogy hogyan használjuk otthonunkban az okoseszközöket.

További partnerhírek >>
hirdetés
Kiemelt hírek
Közösség

OLDALUNK

RSS
Impresszum
Hirdetési információk
Adatvédelem
Felhasználási feltételek

ROVATOK

Adatbiztonság
Családbiztonsag
Mobilbiztonság
Sebezhetőségek
Vírusvédelem

SHOP

Információk, szállítás, fizetés
Terméktámogatási információk

PARTNEREK

Androgeek
Hírposta
Hírhányó
Hírstart
Copyright by Isidor - Minden jog fenntartva!