Fejl i autorisationssystemet på Booking.com-webstedet kunne have gjort det muligt for angribere at overtage brugerkonti og få fuld synlighed i deres personlige data eller betalingskortdata, samt logge ind på konti på webstedets søsterplatform, Kayak.com, forskere har fundet.

Forskere fra Salt Security opdagede problemerne i platformens implementering af OAuth, en åben autorisationsstandard designet til at tillade delegering af adgang på tværs af applikationer for forskellige websteder for at dele login-legitimationsoplysninger, ifølge en blogindlæg offentliggjort i dag. Selvom den ikke var specifikt designet til dette formål, er protokollen blevet en standard for at tillade websteder at læse data fra Facebook-profiler eller logge ind på et websted ved hjælp af Google-legitimationsoplysninger, for eksempel. De fleste mennesker er bekendt med "Log ind med Facebook"-type muligheder for nogle onlinekonti, der tillader brugere at logge ind uden at oprette et nyt sæt login-legitimationsoplysninger.

"Et sikkerhedsbrud [via] OAuth kan føre til identitetstyveri, økonomisk bedrageri og adgang til alle mulige personlige oplysninger, herunder kreditkortnumre, private beskeder, sundhedsjournaler og mere,” skrev Yaniv Balmas, vicepræsident for forskning hos Salt Security, i opslaget.

Specifikt opdagede forskere en åben omdirigeringssårbarhed i Booking.com og opnåede log-in-succes ved at få adgang til webstedet via muligheden "log ind med Facebook". De udnyttede i sidste ende tre sikkerhedsproblemer og kædede dem sammen for at få fuld kontoovertagelse, ifølge posten.

"Når først han er logget ind, kunne angriberen have udført enhver handling på vegne af de kompromitterede brugere og få fuld synlighed på kontoen, inklusive alle en brugers personlige oplysninger," skrev Balmas.

Problemet kunne have forårsaget et alvorligt databrud for kunderne af den meget brugte hotelreservationswebside, som er en del af Booking Holdings Fortune 500-selskabet og har mere end 500 millioner besøgende om måneden, sagde han. Siden giver også brugere mulighed for at leje biler og bestille taxaer.

"En angriber kan potentielt fremsætte uautoriserede anmodninger på vegne af et offer, annullere eksisterende reservationer eller få adgang til følsomme personlige oplysninger såsom reservationshistorik, personlige præferencer og fremtidige reservationer," skrev Balmas i indlægget.

Salt Security afslørede problemerne til Booking.com, som forskere roste for at reagere hurtigt for at løse og fuldstændig afbøde dem. Desuden havde der ikke været beviser for kompromis med Booking.com-platformen, før problemerne blev løst, sagde Booking.com i en erklæring fra Salt Security.

"Ved modtagelse af rapporten fra Salt Security undersøgte vores team øjeblikkeligt resultaterne og konstaterede, at der ikke var gået på kompromis med Booking.com-platformen, og sårbarheden blev hurtigt løst," sagde virksomheden. "Vi tager beskyttelsen af ​​kundedata ekstremt alvorligt."

Sådan fungerer OAuth

For at forstå, hvordan forskere kompromitterede Booking.com's OAuth-implementering, er det vigtigt at forstå, hvordan standarden på et websted fungerer, og hvordan Booking.com's fortolkning af den var mangelfuld.

OAuth kommer i spil, når en bruger logger ind på et websted og klikker på "Log ind med Facebook", som mange websteder bruger til at tillade autentificering på tværs af platforme. Siden åbner derefter et nyt vindue til Facebook, og hvis det er første gang brugeren besøger webstedet, beder du om tilladelse til at dele detaljer med webstedet. Hvis ikke, godkender Facebook automatisk brugeren til webstedet.

Når brugeren klikker på en knap for for eksempel "Fortsæt som Jane", genererer Facebook et hemmeligt token, der er privat for hjemmesiden og knyttet til brugerens Facebook-profil. Facebook bruger derefter tokenet til at dirigere brugeren til hjemmesiden, som bruger tokenet til at kommunikere direkte med Facebook for at få brugerens e-mailadresse. Facebook godkender derefter adressen og dens tilknytning til brugeren, som siden bruger til at logge på brugeren med succes.

Al denne kommunikation mellem Facebook og webstederne involverer forskellige omdirigeringer til forskellige URL'er, hvilket er hvor forskerne var i stand til at udnytte implementeringen af ​​OAuth til at stjæle ofrets token eller kode, sagde de. Dårlige implementeringer er ikke ualmindeligt; ja, i et brud sidste maj, angribere brugte OAuth-tokens stjålet fra Salesforce-datterselskabet Heroku for at få adgang til følsomme kundekontodata.

At finde midler til udnyttelse

Da forskerne ved, at dette token er, hvor angriberens mulighed ligger, undersøgte forskerne sikkerheden ved standardens implementering ved at forårsage "uventet adfærd i flowet" ved at ændre forskellige parametre for at se, hvordan dette ville give dem mulighed for at starte et vellykket angreb, sagde Balmas. Det, de fandt, var måder at manipulere de URL-omdirigeringer, der forekommer i kommunikationen mellem de to websteder, for at omdirigere brugere til URL'er kontrolleret af forskerne og dermed skabe en åben omdirigeringsfejl i Booking.com.

"Vi oprettede et link, der overtager enhver konto på Booking.com, der bruger Facebook," skrev Balmas. "Selve linket peger på et legitimt Facebook.com- eller Booking.com-domæne, hvilket gør det vanskeligt at opdage (manuelt eller automatisk)."

Denne metode tillod også kontoovertagelse på Kayak.com og påvirkede brugere, der loggede på Booking.com fra Google, sagde forskerne.

Større cyberrisiko for dårlige OAuth-implementeringer

Mens forskere kun afslørede, hvordan de brugte OAuth til at kompromittere Booking.com i rapporten, opdagede de andre websteder med risiko for forkert at anvende autentificeringsprotokollen, fortæller Balmas til Dark Reading.

"Vi har observeret flere andre tilfælde af OAuth-fejl på populære websteder og webtjenester," siger han. "Konsekvenserne af hvert problem varierer og afhænger af selve fejlen. I vores tilfælde taler vi om fuld kontoovertagelser på tværs af dem alle. Og der er helt sikkert mange flere, der endnu mangler at blive opdaget."

OAuth giver en nem løsning til at omgå brugerlogin-processen for webstedsejere, hvilket reducerer friktionen, som er et "langt og frustrerende" problem, siger Balmas. Men selvom det virker simpelt, er det faktisk meget kompliceret at implementere teknologien med succes og sikkert i forhold til korrekt teknisk implementering, og et enkelt lille forkert træk kan have en enorm sikkerhedspåvirkning, siger han.

"For at sige det med andre ord - det er meget nemt at sætte en fungerende social login-funktion på en hjemmeside, men det er meget svært at gøre det korrekt," siger Balmas til Dark Reading.

Generelt råder Balmas webstedsejere til at behandle OAuth "som en følsom del af din service og enten opbygge den interne dybe viden om feltet, gennemgå kontinuerlige sikkerhedstests og anmeldelser for at validere dine antagelser, eller selvfølgelig begge dele." 

Han tilføjer: "Dette er et generelt råd, der er relevant for enhver følsom vej/teknologi, der er en del af ens service."

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
• Kilde: https://www.darkreading.com/vulnerabilities-threats/booking-com-oauth-implementation-full-account-takeover