Бесплатная миля: клиенты авиакомпаний едва не лишились своих баллов лояльности из-за слабого шифрования

Программы поощрений за путешествия, подобные тем, которые часто предлагают различные авиакомпании и отели, часто рекламируют разнообразные преимущества вступления именно в их бонусную программу, нежели в любую другую в этой же отрасли. Тем не менее, цифровая инфраструктура для многих подобных программ поощрений, включая популярные за рубежом Delta SkyMiles, United MileagePlus, Hilton Honors, Marriott Bonvoy и Virgin Red, построена на одной платформе, и вся серверная часть исходит от компании Points.

Недавно исследователи в сфере кибербезопасности Иэн Кэрролл, Шубхам Шах и Сэм Карри обнаружили в API инфраструктуры Points.com довольно критичные уязвимости, которые злоумышленники при желании могли бы использовать для кражи данных 22 миллионов клиентов, похищения так называемых «бонусных миль» (внутрисервисная валюта поощрения) и даже получения полного контроля над программами лояльности.

Ключевые находки исследователей включают возможность получения токенов авторизации пользователей, доступа к заказам в системе (с адресами и номерами кредитных карт) и взлома глобальных административных учётных записей из-за слабого шифрования. По словам одного из специалистов, именно централизованная природа Points.com и использование этой платформы многими крупными компаниями — делает её крайне привлекательной мишенью для взлома.

Одна из обнаруженных уязвимостей позволяла кибербандитам перемещаться между разделами инфраструктуры Points API и получать доступ к данным заказов программ лояльности. В системе содержалось 22 миллиона таких заказов с адресами, телефонами, e-mail и частичными номерами банковских карт клиентов.

Хотя Points.com и ограничивала количество возвращаемых за один запрос данных, исследователи отмечают, что при должном терпении и наличии свободного времени, хакеры вполне могли бы собрать нужную информацию о конкретных людях или же постепенно выкачать всё хранилище целиком.

Ещё одна проблема заключалась в том, что из-за неправильной конфигурации API злоумышленники могли генерировать токен авторизации от имени любого пользователя, зная только его фамилию и номер программы лояльности. Подобные данные можно получить как из утечек, так и воспользовавшись первой вышеописанной уязвимостью. Получив чужой токен, киберпреступники могли бы переводить бонусные мили или очки на свои собственные счета, обнуляя баланс жертв.

Наиболее опасной оказалась дыра в глобальном административном сайте Points.com. Пользовательские cookie-файлы там были зашифрованы при помощи слабого ключа, который было легко подобрать. Это позволило бы хакерам получить привилегии администратора всей системы.

Points.com оперативно отреагировала на проведённое специалистами безопасности исследование и довольно быстро устранила все уязвимости. По заявлению компании, признаков злонамеренного использования данных обнаружено не было, значит специалисты успели вовремя.

Исследователи надеются, что их работа поможет другим компаниям, отвечающим сразу за большое количество данных и систем, лучше оценивать свои риски в сфере кибербезопасности и своевременно внедрять необходимые меры защиты.