Приложение Marriott для Android в течение четырех лет было подвержено критической уязвимости

image

Теги: уязвимость, исследование, взлом

Брешь позволяла злоумышленникам получить доступ к персональным данным клиентов программы лояльности сети гостиниц.

Приложение сети гостиниц Marriott для Android-устройств в течение последних четырех лет содержало критическую уязвимость. Как сообщает старший разработчик ПО компании XDA-Developers Рэнди Вестегрен (Randy Westegren), брешь позволяла злоумышленникам получить персональные данные любого клиента Marriott. О своей находке специалист написал на своем сайте.

Вестегрен обнаружил, что данные о бронировании номеров для членов специальной программы Marriott проверяются без прохождения аутентификации. Таким образом, исследователь может ввести любой идентификатор пользователя и получить детальную информацию о забронированном им номере, гостинице, дате въезда и его имени. С этой информацией специалисту удалось войти в личный кабинет на web-сайте Marriott и получить персональные данные о клиенте, включая его адрес, контактные данные и платежную информацию.

Исследователь отправил разработчикам приложения PoC-код, позволяющий любому злоумышленнику получить информацию о любом пользователе программы лояльности Marriott. Написанный им скрипт проверяет все номера пользователей и останавливается, когда находит клиента, забронировавшего номер.

Официальное приложение Marriott для Android было запущено в 2011 году. Вестегрен считает, что уязвимость присутствовала в программе еще с момента ее выпуска. Специалист указал, что разработчики исправили брешь уже на следующий день после того, как он сообщил о ней.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.