Eine Sicherheitslücke in der OAuth-Implementierung von Booking.com könnte verwendet werden, um Kontoübernahmen zu starten, aber Forscher entdeckten und meldeten das Problem, bevor es in freier Wildbahn ausgenutzt werden konnte
Kritische Sicherheitslücken in der Open Authorization (OAuth)-Implementierung von Booking.com hätten es Angreifern ermöglichen können, groß angelegte Kontoübernahmen zu starten, die die sensiblen personenbezogenen Daten von Millionen von Menschen gefährden, so eine Bedrohungsforschung von Salt Labs.
Ein branchenübliches Social-Login-Protokoll, OAuth ermöglicht es Benutzern, sich über ihre Social-Media-Konten auf Websites anzumelden, aber durch die Manipulation bestimmter Schritte in der Autorisierungssequenz von Booking.com stellten die Forscher von Salt Labs fest, dass sie Sitzungen entführen und Kontoübernahmen durchführen konnten.
Die Erlangung der vollständigen Kontrolle über die Konten von Personen auf diese Weise hätte es Angreifern ermöglicht, personenbezogene Daten und andere sensible Benutzerdaten preiszugeben und alle Aktionen im Namen des Benutzers durchzuführen, einschließlich Buchungen oder Stornierungen.
Die Forscher sagten, dass jeder, der für die Anmeldung bei Booking.com über Facebook konfiguriert war, angreifbar gewesen wäre und dass – angesichts der Popularität der Funktion und der Tatsache, dass die Website jeden Monat bis zu 500 Millionen Besucher hat – Millionen von a betroffen sein könnten erfolgreiche Exploitation.
Die Bedrohung wurde durch die Tatsache verstärkt, dass Angreifer dann den kompromittierten Login von Booking.com verwenden konnten, um Zugriff auf die Benutzerkonten von Kayak.com des Schwesterunternehmens zu erhalten.
„OAuth hat sich schnell zum Industriestandard entwickelt und wird derzeit von Hunderttausenden von Diensten auf der ganzen Welt verwendet“, sagte Yaniv Balmas, Vizepräsident für Forschung bei Salt Security.
„Infolgedessen können Fehlkonfigurationen von OAuth erhebliche Auswirkungen sowohl auf Unternehmen als auch auf Kunden haben, da sie wertvolle Daten an Betrüger weitergeben. Sicherheitslücken können auf jeder Website auftreten, und aufgrund der schnellen Skalierung sind sich viele Unternehmen der unzähligen Sicherheitsrisiken nicht bewusst, die auf ihren Plattformen bestehen.“
Nach der Entdeckung der Schwachstellen befolgte Salt Labs – der Forschungszweig des Sicherheitsunternehmens für Anwendungsprogrammierschnittstellen (API) Salt Security – koordinierte Offenlegungspraktiken mit Booking.com, und alle Probleme wurden behoben. Es gibt keine Hinweise darauf, dass die Fehler in freier Wildbahn ausgenutzt wurden.
„Nach Erhalt des Berichts von Salt Security untersuchten unsere Teams sofort die Ergebnisse und stellten fest, dass die Booking.com-Plattform nicht kompromittiert worden war und die Schwachstelle schnell behoben wurde“, sagte ein Sprecher von Booking.com.
„Wir nehmen den Schutz von Kundendaten sehr ernst. Wir behandeln nicht nur alle personenbezogenen Daten gemäß den höchsten internationalen Standards, sondern erneuern kontinuierlich unsere Prozesse und Systeme, um eine optimale Sicherheit auf unserer Plattform zu gewährleisten, während wir die bereits bestehenden robusten Sicherheitsmaßnahmen evaluieren und verbessern.
„Im Rahmen dieses Engagements begrüßen wir die Zusammenarbeit mit der globalen Sicherheitsgemeinschaft, und unser Bug-Bounty-Programm sollte in diesen Fällen genutzt werden.“
Die Forscher haben auch eine detaillierte technische Aufschlüsselung der Schwachstelle und ihrer Ausnutzung veröffentlicht, die zeigt, wie sie drei separate Sicherheitsprobleme aneinanderreihen konnten, um Kontoübernahmen zu erreichen.
„Die in diesem Dokument beschriebene Schwachstelle ist eine Kombination aus drei kleineren Sicherheitslücken. Der Schwerpunkt liegt hauptsächlich auf der ersten Sicherheitslücke, die es dem Angreifer ermöglicht, einen anderen Pfad für die redirect_uri zu wählen“, sagten sie.
„Wenn Sie eine Integration mit Facebook oder einem anderen Anbieter vornehmen, ist es äußerst wichtig, fest codierte Pfade für die redirect_uri in der Facebook-Konfiguration bereitzustellen.“
Entsprechend der Salt-Sicherheitsstatus des API-Sicherheitsberichts, 3. Quartal 2022verzeichneten Salt-Kunden einen Anstieg des API-Angriffsverkehrs um 117 %, während ihr gesamter API-Verkehr um 168 % anstieg
Der Wachstumstrend hat in diesem Jahr zu einer steigenden Anzahl hochkarätiger Vorfälle im Zusammenhang mit API-Verkehr geführt, einschließlich des jüngsten Angriffs auf das australische Telekommunikationsunternehmen Optus, bei dem Namen, Adressen, Geburtsdaten, Telefonnummern, E-Mail-Adressen sowie Führerschein und Reisepass eingesehen wurden Daten über 11 Millionen gestohlene und erpresste Kunden – ein Vorfall, der so schwerwiegend ist, dass die australische Regierung nun plant, ihre Sicherheitsvorschriften für die Telekommunikation zu ändern.
Lesen Sie mehr über Geschäftsanwendungen
Schwachstellen auf der Lego-Website heben API-Sicherheitslücken hervor
Von: Beth Pariseau
Lego behebt gefährliche API-Schwachstelle im BrickLink-Dienst
Von: Alex Scroxton
Digital Transformation Week Amsterdam: Die wachsende Kluft zwischen Besitzenden und Besitzlosen
Von: Pat Brans
API-Management: Zuverlässigkeit und Sicherheit bewerten
Von: Klippe Saran
