
Peneliti cybersecurity telah mengungkapkan rincian kerentanan pengambilalihan akun yang sekarang ditonton yang mempengaruhi layanan perjalanan online yang populer untuk penyewaan hotel dan mobil.
“Dengan mengeksploitasi cacat ini, penyerang dapat memperoleh akses yang tidak sah ke akun pengguna mana pun dalam sistem, secara efektif memungkinkan mereka untuk menyamar sebagai korban dan melakukan serangkaian tindakan atas nama mereka – termasuk pemesanan hotel dan penyewaan mobil menggunakan poin loyalitas maskapai penerbangan korban, membatalkan pembatalan, membatalkan pembatalan maskapai penerbangan korban, membatalkan pembatalan. Atau mengedit informasi pemesanan, dan banyak lagi, “kata perusahaan keamanan API Salt Labs dalam sebuah laporan yang dibagikan dengan The Hacker News.
Eksploitasi kerentanan yang berhasil dapat menempatkan jutaan pengguna maskapai penerbangan online dalam risiko, tambahnya. Nama perusahaan tidak diungkapkan, tetapi dikatakan bahwa layanan ini diintegrasikan ke dalam “lusinan layanan online maskapai penerbangan komersial” dan memungkinkan pengguna untuk menambahkan pemesanan hotel ke jadwal jadwal maskapai mereka.

Kekurangannya, singkatnya, dapat dipersenjatai secara sepele dengan mengirim tautan yang dibuat khusus yang dapat disebarkan melalui saluran distribusi standar seperti email, pesan teks, atau situs web yang dikendalikan penyerang. Mengklik tautan sudah cukup bagi aktor ancaman untuk membajak kontrol akun korban segera setelah proses login selesai.
Situs yang mengintegrasikan layanan pemesanan sewa memiliki opsi untuk masuk ke yang terakhir menggunakan kredensial yang terkait dengan penyedia layanan maskapai, di mana platform penyewaan menghasilkan tautan dan mengarahkan kembali pengguna kembali ke situs web maskapai untuk menyelesaikan otentikasi melalui OAuth.
Setelah masuk berhasil, pengguna diarahkan ke situs web yang menganut format “
Metode serangan yang dirancang oleh Salt Labs melibatkan pengalihan respons otentikasi dari situs maskapai, yang mencakup token sesi pengguna, ke situs di bawah kendali penyerang dengan memanipulasi parameter “TR_RETURNURL”, secara efektif memungkinkan mereka untuk mengakses akun korban dalam sebuah akun yang tidak sah secara tidak sah “secara tidak sah, secara efektif memungkinkan mereka untuk mengakses akun korban dari korban dari korban tersebut secara tidak sah cara, termasuk informasi pribadi mereka.

“Karena tautan yang dimanipulasi menggunakan domain pelanggan yang sah (dengan manipulasi yang terjadi hanya pada tingkat parameter daripada tingkat domain), ini membuat serangan sulit dideteksi melalui inspeksi domain standar atau metode blocklist/listlist,” kata peneliti keamanan Amit Elbirt.
Salt Labs telah menggambarkan interaksi layanan-ke-layanan sebagai vektor yang menguntungkan untuk serangan rantai pasokan API, di mana musuh menargetkan hubungan yang lebih lemah di ekosistem untuk masuk ke dalam sistem dan mencuri data pelanggan swasta.
“Di luar paparan data belaka, penyerang dapat melakukan tindakan atas nama pengguna, seperti membuat pesanan atau memodifikasi detail akun,” tambah Elbirt. “Risiko kritis ini menyoroti kerentanan dalam integrasi pihak ketiga dan pentingnya protokol keamanan yang ketat untuk melindungi pengguna dari akses dan manipulasi akun yang tidak sah.”