Недавнее открытие крупной уязвимости в системе аутентификации популярного онлайн-сервиса по бронированию отелей и автомобилей, интегрированного с десятками коммерческих авиакомпаний, заставило миллионы пользователей задуматься о безопасности своих учетных записей. Исследователи из компании Salt Labs, занимающейся кибербезопасностью, обнаружили в работе системы так называемую брешь перенаправления OAuth. Этот тип уязвимостей позволяет злоумышленникам перехватывать контроль над учетными записями пользователей и использовать их в своих целях.
Схема атаки оказалась на удивление простой и одновременно коварной. Жертве отправлялась специально созданная ссылка, которая при нажатии перенаправляла процесс аутентификации на сайт, контролируемый злоумышленником. Ключевым моментом являлась манипуляция параметром
Поскольку подмена происходила на уровне параметров в пределах легитимного домена с форматом "<rental-service>.<airlineprovider>.sec", стандартные проверки домена оказывались бесполезными, и обнаружить атаку становилось крайне сложно. Получив сеансовый токен, киберпреступники могли полноценно распоряжаться аккаунтами пользователей.
Последствия для владельцев учетных записей были весьма плачевными. Злоумышленники получали возможность не только взломать учетную запись пользователя, но и совершать несанкционированные бронирования отелей и автомобилей за счет накопленных авиамиль, отменять или изменять существующие бронирования, а также получить доступ к личным данным пользователей. Этот инцидент стал ярким примером так называемых атак на цепочки поставок API, когда киберпреступники атакуют самые слабые звенья в экосистеме.
Специалисты Salt Labs, в лице исследователя безопасности Амита Элбирта, ответственно отнеслись к своей работе и сообщили об обнаруженной уязвимости. На момент публикации информации, уязвимость была устранена.
Эта ситуация подчеркивает необходимость постоянного контроля и совершенствования систем безопасности в онлайн-сервисах, особенно тех, которые работают с конфиденциальными данными пользователей. Понимание механизмов подобных атак поможет пользователям принимать более осознанные решения при использовании онлайн-платформ, а разработчикам усилить защиту своих систем от подобных угроз.
Изображение носит иллюстративный характер
Схема атаки оказалась на удивление простой и одновременно коварной. Жертве отправлялась специально созданная ссылка, которая при нажатии перенаправляла процесс аутентификации на сайт, контролируемый злоумышленником. Ключевым моментом являлась манипуляция параметром
tr_returnUrl в ответе аутентификации от сайта авиакомпании. Этот параметр, который определяет, куда перенаправить пользователя после успешного входа в систему, переписывался таким образом, что пользователь перенаправлялся на вредоносный ресурс, где и похищался его сеансовый токен. Поскольку подмена происходила на уровне параметров в пределах легитимного домена с форматом "<rental-service>.<airlineprovider>.sec", стандартные проверки домена оказывались бесполезными, и обнаружить атаку становилось крайне сложно. Получив сеансовый токен, киберпреступники могли полноценно распоряжаться аккаунтами пользователей.
Последствия для владельцев учетных записей были весьма плачевными. Злоумышленники получали возможность не только взломать учетную запись пользователя, но и совершать несанкционированные бронирования отелей и автомобилей за счет накопленных авиамиль, отменять или изменять существующие бронирования, а также получить доступ к личным данным пользователей. Этот инцидент стал ярким примером так называемых атак на цепочки поставок API, когда киберпреступники атакуют самые слабые звенья в экосистеме.
Специалисты Salt Labs, в лице исследователя безопасности Амита Элбирта, ответственно отнеслись к своей работе и сообщили об обнаруженной уязвимости. На момент публикации информации, уязвимость была устранена.
Эта ситуация подчеркивает необходимость постоянного контроля и совершенствования систем безопасности в онлайн-сервисах, особенно тех, которые работают с конфиденциальными данными пользователей. Понимание механизмов подобных атак поможет пользователям принимать более осознанные решения при использовании онлайн-платформ, а разработчикам усилить защиту своих систем от подобных угроз.
