Уязвимость в сервисе Hilton Honors позволяет получить доступ ко всем учетным записям клиентов

Не так давно международная сеть отелей Hilton Hotels & Resorts начала кампанию, в рамках которой предлагает 1 тыс. бесплатных баллов участникам программы Hilton Honors Awards, согласившимся изменить пароли к своим учетным записям в сервисе до 1 апреля 2015 года. По иронии судьбы,  сообщает  исследователь безопасности Брайан Кребс в своем блоге, начало данной кампании привело к обнаружению простой, но довольно серьезной уязвимости на web-сайте, позволяющей осуществить кражу учетной записи в Hilton Honors путем введения ее 9-значного номера. 

Информация о бреши поступила от специалистов компании Bancsec Брендона Поттера (Brandon Potter) и Джей Би Шнайдера (JB Snyder), которые обнаружили, что войдя в учетную запись в Hilton Honors, могут похитить любой другой аккаунт, если известен его номер. По словам экспертов, все, что для этого нужно – просто выполнить некоторые изменения в HTML-контенте и перегрузить страницу. После этого мошенник может выполнять все операции, доступные законному владельцу учетной записи. Например, изменять пароль, просматривать информацию о путешествиях, а также отправлять баллы в качестве наличных средств на предоплаченные кредитные карты или перенаправлять их на другие учетные записи в Hilton Honors. Кроме того, данная уязвимость позволяет получить доступ к физическим и электронным адресам клиентов, а также последним четырем цифрам номера любой кредитной карты в файле.

По словам Шнайдера, проблема возникла из-за довольно распространенной CSRF-уязвимости эксплуатация которой позволяет злоумышленнику использовать браузер пользователя для осуществления нежелательных действий на надежном web-сайте.

Специалист отметил, что преступники могли с легкостью подобрать номер учетной записи в Hilton Honors используя официальный портал компании и страницу сброса настроек PIN-кодов, на которой можно проверить, прикреплен ли какой-либо 9-значный номер к действующему аккаунту.

Руководство Hilton Worldwide подтвердило существование уязвимости в сервисе Hilton Honors и в настоящее время предпринимает все необходимые меры по ее устранению.