Post by joypaul316 on Jan 8, 2024 0:11:24 GMT -5
用于管理数十个主要旅行奖励计划的积分平台存在缺陷,暴露了用户数据,并可能让攻击者获得一些额外的好处。机场里旅客的剪影 礼貌 旅行奖励计划(如航空公司和酒店提供的计划)宣传了加入俱乐部相对于其他俱乐部的特定优势。然而,许多此类计划(例如达美“飞凡里程常客计划”、美联航前程万里、希尔顿荣誉客会和万豪旅享家)的数字基础设施都托管在同一平台上。后端来自忠诚度商务公司 Points 及其服务套件,包括广泛的应用程序编程接口 (API)。但一组安全研究人员最近发布的新发现表明,API 中的漏洞可能会被利用来暴露客户数据、窃取他们的“忠诚货币”(如里程),甚至危及全球积分管理的账户,从而控制整个积分管理系统。忠诚度计划。问题已得到修复 研究人员 Ian Carroll、Shubham Shah 和 Sam Curry 在 3 月至 5 月期间报告了 Points 中的一系列漏洞,此后所有缺陷均已得到修复。 “令我惊讶的是,有一个忠诚度和积分系统的中央实体,世界上几乎所有大品牌都使用该系统,”沙阿说。 “从那时起,我很清楚,发现该系统中的缺陷将对所有使用忠诚度后端的公司产生连锁效应。我认为,一旦其他黑客意识到以积分为目标意味着他们可能拥有积分无限的忠诚度系统,他们也会最终成功地瞄准了积分。”其中一个缺陷涉及一种操纵,该操纵允许研究人员从 Points API 基础设施的一个部分移动到另一个内部部分,然后查询奖励计划客户的订单。
该系统包含 2200 万条订单记录,其中包含客户奖励帐号、地址、电话号码、电子邮件地址和部分信用卡号码等数据。 Point 对系统一次返回的响应数量有限制,这意味着攻击者无法简单地立即转储整个数据库。然而,研究人员指出,随着时间的推移,搜索特 Whatsapp 号码列表 定的感兴趣的人或慢慢地从系统中提取数据是可能的。研究人员发现的另一个缺陷是 API 配置问题,该问题可能允许攻击者仅使用姓氏和赏金编号即可为任何用户生成帐户授权令牌。这两条信息可以通过之前的泄露或利用第一个漏洞来获取。有了这个令牌,攻击者就可以控制客户帐户,并将里程或其他奖励积分转移给自己,从而清空受害者的帐户。观看次数最多 墨西哥在玛雅火车的路径上发现了近几十年来“最伟大的考古宝藏” 墨西哥在玛雅火车的路径上发现了近几十年来“最伟大的考古宝藏” 作者:安娜·拉各斯 毛臂鱼:一条“有手的鱼”塔斯马尼亚州重新出现假定已灭绝的腕鱼:塔斯马尼亚州重新出现了假定已灭绝的“长手鱼” 墨西哥护照:费用、预约以及如何办理 墨西哥护照:费用、预约以及如何办理 作者:安娜·拉各斯 报道的“问题”标准是什么智能家居 智能家居的“Matter”标准是什么 BY SIMON HILL 研究人员发现了两个与另一对缺陷类似的漏洞,其中一个仅影响 Virgin Red,而另一个仅影响 United MileagePlus,目前也已修复。这两个漏洞。承担责任 最重要的是,研究人员在全球管理网站中发现了一个漏洞,其中分配给每个用户的加密 cookie 已使用易于猜测的秘密进行了加密:“秘密”一词本身。
通过猜测,研究人员可以解密他们的 cookie,重新分配自己的全球站点管理员权限,重新加密 cookie,并本质上具有访问任何积分奖励系统的神一般的能力,甚至授予帐户无限的里程或其他好处。 Points 在发言人 Carrie Mumford 分享的一份声明中表示:“作为我们正在进行的数据安全活动的一部分,Points 最近与一组合格的安全研究人员合作,研究我们系统中潜在的网络安全漏洞。” “没有证据表明这些信息存在恶意或滥用行为,该组织访问的所有数据均已被销毁。与任何负责任的披露一样,Points 在获悉漏洞后立即采取行动解决和修复所报告的问题。 “我们的补救措施已经过第三方网络安全专家的审查和验证。”研究人员证实这些修复措施有效,并表示 Points 在解决这些披露问题方面反应非常积极且合作。该小组开始调查该公司的系统,部分原因是他们长期以来对忠诚度计划的内部运作感兴趣。卡罗尔甚至经营着一个与优化用里程支付的机票相关的旅游网站。但更一般地说,研究人员将他们的工作重点放在变得至关重要的平台上,因为它们充当多个组织或机构之间的共享基础设施。不良行为者也越来越关注这一策略,出于间谍目的进行供应链攻击,或发现广泛使用的软件和设备中的漏洞并在网络犯罪攻击中利用它们。 “我们试图找到高影响力的系统,如果攻击者能够破坏它们,可能会造成重大损害,”库里说。 “我认为很多公司无意中达到了最终掌控大量数据和系统的地步,但他们不一定会停下来评估自己所处的位置。”文章最初发表于《连线》。由安德里亚·巴拉年科改编。
该系统包含 2200 万条订单记录,其中包含客户奖励帐号、地址、电话号码、电子邮件地址和部分信用卡号码等数据。 Point 对系统一次返回的响应数量有限制,这意味着攻击者无法简单地立即转储整个数据库。然而,研究人员指出,随着时间的推移,搜索特 Whatsapp 号码列表 定的感兴趣的人或慢慢地从系统中提取数据是可能的。研究人员发现的另一个缺陷是 API 配置问题,该问题可能允许攻击者仅使用姓氏和赏金编号即可为任何用户生成帐户授权令牌。这两条信息可以通过之前的泄露或利用第一个漏洞来获取。有了这个令牌,攻击者就可以控制客户帐户,并将里程或其他奖励积分转移给自己,从而清空受害者的帐户。观看次数最多 墨西哥在玛雅火车的路径上发现了近几十年来“最伟大的考古宝藏” 墨西哥在玛雅火车的路径上发现了近几十年来“最伟大的考古宝藏” 作者:安娜·拉各斯 毛臂鱼:一条“有手的鱼”塔斯马尼亚州重新出现假定已灭绝的腕鱼:塔斯马尼亚州重新出现了假定已灭绝的“长手鱼” 墨西哥护照:费用、预约以及如何办理 墨西哥护照:费用、预约以及如何办理 作者:安娜·拉各斯 报道的“问题”标准是什么智能家居 智能家居的“Matter”标准是什么 BY SIMON HILL 研究人员发现了两个与另一对缺陷类似的漏洞,其中一个仅影响 Virgin Red,而另一个仅影响 United MileagePlus,目前也已修复。这两个漏洞。承担责任 最重要的是,研究人员在全球管理网站中发现了一个漏洞,其中分配给每个用户的加密 cookie 已使用易于猜测的秘密进行了加密:“秘密”一词本身。
通过猜测,研究人员可以解密他们的 cookie,重新分配自己的全球站点管理员权限,重新加密 cookie,并本质上具有访问任何积分奖励系统的神一般的能力,甚至授予帐户无限的里程或其他好处。 Points 在发言人 Carrie Mumford 分享的一份声明中表示:“作为我们正在进行的数据安全活动的一部分,Points 最近与一组合格的安全研究人员合作,研究我们系统中潜在的网络安全漏洞。” “没有证据表明这些信息存在恶意或滥用行为,该组织访问的所有数据均已被销毁。与任何负责任的披露一样,Points 在获悉漏洞后立即采取行动解决和修复所报告的问题。 “我们的补救措施已经过第三方网络安全专家的审查和验证。”研究人员证实这些修复措施有效,并表示 Points 在解决这些披露问题方面反应非常积极且合作。该小组开始调查该公司的系统,部分原因是他们长期以来对忠诚度计划的内部运作感兴趣。卡罗尔甚至经营着一个与优化用里程支付的机票相关的旅游网站。但更一般地说,研究人员将他们的工作重点放在变得至关重要的平台上,因为它们充当多个组织或机构之间的共享基础设施。不良行为者也越来越关注这一策略,出于间谍目的进行供应链攻击,或发现广泛使用的软件和设备中的漏洞并在网络犯罪攻击中利用它们。 “我们试图找到高影响力的系统,如果攻击者能够破坏它们,可能会造成重大损害,”库里说。 “我认为很多公司无意中达到了最终掌控大量数据和系统的地步,但他们不一定会停下来评估自己所处的位置。”文章最初发表于《连线》。由安德里亚·巴拉年科改编。