понедельник, 23 марта 2015 г.

Уязвимость в сервисе Hilton Honors позволяет получить доступ ко всем учетным записям клиентов

Для того чтобы похитить аккаунт, необходимо просто выполнить некоторые изменения в HTML-контенте и перегрузить страницу.
Не так давно международная сеть отелей Hilton Hotels & Resorts начала кампанию, в рамках которой предлагает 1 тыс. бесплатных баллов участникам программы Hilton HHonors Awards, согласившимся изменить пароли к своим учетным записям в сервисе до 1 апреля 2015 года. 

imageПо иронии судьбы, сообщает исследователь безопасности Брайан Кребс в своем блоге, начало данной кампании привело к обнаружению простой, но довольно серьезной уязвимости на web-сайте, позволяющей осуществить кражу учетной записи в Hilton Honors путем введения ее 9-значного номера. 
Информация о бреши поступила от специалистов компании Bancsec Брендона Поттера (Brandon Potter) и Джей Би Шнайдера (JB Snyder), которые обнаружили, что войдя в учетную запись в Hilton Honors, могут похитить любой другой аккаунт, если известен его номер. По словам экспертов, все, что для этого нужно – просто выполнить некоторые изменения в HTML-контенте и перегрузить страницу. После этого мошенник может выполнять все операции, доступные законному владельцу учетной записи. Например, изменять пароль, просматривать информацию о путешествиях, а также отправлять баллы в качестве наличных средств на предоплаченные кредитные карты или перенаправлять их на другие учетные записи в Hilton Honors. Кроме того, данная уязвимость позволяет получить доступ к физическим и электронным адресам клиентов, а также последним четырем цифрам номера любой кредитной карты в файле.
По словам Шнайдера, проблема возникла из-за довольно распространенной CSRF-уязвимости эксплуатация которой позволяет злоумышленнику использовать браузер пользователя для осуществления нежелательных действий на надежном web-сайте.
Специалист отметил, что преступники могли с легкостью подобрать номер учетной записи в Hilton Honors используя официальный портал компании и страницу сброса настроек PIN-кодов, на которой можно проверить, прикреплен ли какой-либо 9-значный номер к действующему аккаунту.
Руководство Hilton Worldwide подтвердило существование уязвимости в сервисе Hilton Honors и в настоящее время предпринимает все необходимые меры по ее устранению.

Источник:   securitylab.ru

Комментариев нет:

Отправить комментарий