Kibernetinio saugumo problemos lojalumo programose: nutekinti keliautojų duomenys
Vis labiau populiarėja kelionių apdovanojimų programos, kurias siūlo žinomos oro linijų bendrovės ir viešbučiai. Jos vilioja klientus unikaliomis lengvatomis ir privalumais, kurie išskiria juos iš konkurentų. Tačiau daugelis vartotojų gali nesuvokti, kad daugelis šių lojalumo programų remiasi ta pačia skaitmenine infrastruktūra. Ši vienoda platforma, kurią teikia lojalumo prekybos bendrovė „Points“ ir jos paslaugų rinkinys, apima plačią taikomųjų programų programavimo sąsają (API).
Bendras šios platformos pobūdis neseniai buvo atidžiai išnagrinėtas, nes grupė saugumo tyrėjų atskleidė „Points.com“ API pažeidžiamumą. Jų išvados buvo paskelbtos ir atskleidė, kad šios spragos galėjo leisti nesankcionuotai prieigai atskleisti klientų duomenis, pavogti klientų lojalumo programų valiutą, pavyzdžiui, mylias, ar net pažeisti pasaulines „Points“ administravimo paskyras ir taip įgyti ištisų lojalumo programų kontrolę[1].
Tyrėjai Ianas Carrollas, Shubhamas Shahas ir Samas Curry apie šias „Points.com“ pažeidžiamybes uoliai pranešė kovo-gegužės mėnesiais. Nuo to laiko visos nustatytos klaidos buvo ištaisytos. S. Shahas ypač nustebo sužinojęs, kad centrinis subjektas valdo beveik visų didžiųjų pasaulio prekės ženklų lojalumo ir taškų sistemas. Jis suprato, kad nustačius šios centralizuotos sistemos trūkumų, gali kilti sprogimo efektas, turintis įtakos kiekvienai šią lojalumo sistemą naudojančiai įmonei.
Jis taip pat spėliojo, kad kiti įsilaužėliai, supratę neriboto taškų skaičiaus galimybes, greičiausiai taip pat taikysis į „Points.com“. Tarp įvairių aptiktų pažeidžiamumų buvo ir klaida, kuri leido tyrėjams pereiti iš vienos Points API infrastruktūros dalies į kitą vidinę sritį, kur jie galėjo pateikti užklausą dėl atlygio programos klientų užsakymų. Sistemoje buvo 22 mln. užsakymų įrašų, įskaitant tokius slaptus duomenis kaip klientų atlygio sąskaitų numeriai, adresai, telefono numeriai, el. pašto adresai ir net daliniai kredito kortelių numeriai[2].
Įsilaužėliai gavo pilną keliautojų paskyrų kontrolę
Nors „Points.com“ buvo įdiegusi apribojimus, kiek atsakymų sistema galėjo grąžinti vienu metu, tyrėjai pažymėjo, kad būtų buvę galima ieškoti konkrečių asmenų arba palaipsniui ištraukti duomenis iš sistemos. Kitas aptiktas svarbus pažeidžiamumas buvo API konfigūracijos problema, dėl kurios įsilaužėlis galėjo sugeneruoti bet kurio naudotojo paskyros autorizavimo žetoną, naudodamas tik jo pavardę ir apdovanojimų numerį.
Ši informacija galėjo būti gauta per ankstesnius įsilaužimus arba pasinaudojus pirmuoju pažeidžiamumu. Turėdamas šį simbolį, užpuolikas galėjo perimti klientų paskyrų kontrolę, pervesti sau mylių ar kitų apdovanojimų taškų ir ištuštinti aukų sąskaitas. Be šių, tyrėjai aptiko dar du pažeidžiamumus, darančius poveikį konkrečioms programoms, kuriuos „Points.com“ nedelsdama ištaisė.
Bene svarbiausias atradimas buvo „Points.com“ pasaulinės administravimo svetainės pažeidžiamumas. Čia kiekvienam naudotojui priskirtas šifruotas slapukas buvo užšifruotas žodžiu, kurį buvo taip lengva atspėti, kad jis buvo beveik komiškas: žodis secret. Įveikę šį slapuką, tyrėjai galėjo jį iššifruoti, suteikti sau visuotinio administratoriaus privilegijas, iš naujo užšifruoti slapuką ir iš tikrųjų įgyti visišką kontrolę, kad galėtų prisijungti prie bet kurios „Points“ apdovanojimų sistemos ir suteikti neribotą kiekį mylių ar privilegijų[3].
Bendrovė greitai sureagavo, teigdama, kad bendradarbiavo su tyrėjais, siekdama nustatyti pažeidžiamumą, ir kad nėra jokių piktavališkų ketinimų ar piktnaudžiavimo informacija įrodymų. Visi duomenys, kuriais naudojosi grupė, buvo sunaikinti, o trečiosios šalies kibernetinio saugumo ekspertai patikrino jų pastangas ištaisyti trūkumus.
Bendrovės greita ir efektyvi reakcija, rodos, padėjo viską sukontroliuoti
Tyrėjai patvirtino, kad ištaisymai buvo veiksmingi, ir pagyrė „Points“ už operatyvumą ir bendradarbiavimą. Tyrimą iš dalies paskatino ilgalaikis domėjimasis lojalumo atlygio programų veikimu, tačiau jį taip pat lėmė platesnis dėmesys platformoms, kurios tampa svarbia bendra įvairių organizacijų infrastruktūra. Tačiau šis tyrimas pabrėžia augančią tendenciją kibernetinio saugumo srityje, kai blogi veikėjai vis dažniau taikosi į šias didelio poveikio sistemas.
Vykdydami tiekimo grandinės atakas arba rasdami pažeidžiamumą plačiai naudojamoje programinėje įrangoje ir įrangoje, įsilaužėliai gali padaryti didelę žalą. Kaip taikliai sako S. Curry, daugelis įmonių gali netyčia atsidurti už didelius duomenų ir sistemų kiekius, iki galo neįvertinusios savo padėties. „Points.com“ pažeidžiamumai yra akivaizdus priminimas, kad net ir labiausiai viliojančios apdovanojimų programos gali turėti paslėptų pavojų.
Taip pat pabrėžiama, kaip svarbu taikyti patikimas kibernetinio saugumo priemones, atsakingai atskleisti informaciją ir bendradarbiauti tyrėjams ir bendrovėms, kad būtų užtikrinta vertingų klientų duomenų ir apdovanojimų apsauga. Toliau pateikiamas išsamus praneštų pažeidžiamumų sąrašas, kuriame paaiškinamas skirtingas aptiktų saugumo spragų aspektas:
- 2023 m. kovo 7 d. tyrėjai nustatė, kad neautentifikuotas HTTP kelio apėjimas suteikė prieigą prie vidinės API, todėl užpuolikas galėjo gauti prieigą prie 22 milijonų užsakymų įrašų rinkinio. Į pažeidžiamus duomenis pateko slapta informacija, pavyzdžiui, daliniai kredito kortelių numeriai, namų adresai ir kt. Naudodami konkrečius API skambučius, įsilaužėliai netgi galėjo ieškoti atskirų klientų duomenų.
- 2023 m. kovo 7 d. buvo aptiktas ir antrasis pažeidžiamumas, kuris atskleidė autorizacijos apėjimo galimybę, leidžiančią įsilaužėliui perkelti oro linijų apdovanojimų taškus iš naudotojų paskyrų, žinant tik jų pavardę ir apdovanojimų taškų skaičių. Ši spraga taip pat leido visapusiškai valdyti klientų paskyras, įskaitant taškų perkėlimą ir sąskaitų informacijos peržiūrą.
- Nutekinti apdovanojimų programos nuomininko duomenys (2023 m. gegužės 2 d.). Iš „Virgin rewards“ svetainės, kurios paslaugas teikia „Points.com“, galinio taško nutekėjo duomenys, kuriais buvo galima visiškai autentifikuotis kaip oro linijų bendrovės. Šis pažeidžiamumas leido visiškai kontroliuoti klientų paskyras, apdovanojimų taškus ir kitus su oro linijomis susijusius nustatymus.
- 2023 m. balandžio 29 d. buvo aptikta papildoma „United Airlines“ pažeidžiamoji vieta, kurioje užpuolikas galėjo sukurti bet kurio naudotojo autorizacijos žetoną, naudodamas tik jo apdovanojimų numerį ir pavardę. Tai leido neleistinai pervesti mylias ir gauti prieigą prie neskelbtinos informacijos, pavyzdžiui, redaguotų kredito kortelės duomenų ir operacijų istorijos.
- 2023 m. gegužės 2 d. administravimo konsolėje buvo aptiktas kritinis pažeidžiamumas, kai sesijos paslaptis buvo lengvai atspėjama kaip žodis secret. Turėdami šią informaciją, įsilaužėliai galėjo prisiimti visas administratoriaus teises ir gauti prieigą prie visų pagrindinių svetainės funkcijų, įskaitant rankinį premijų keitimą ir atlygio programų keitimo kursų nustatymą. Ši prieiga taip pat galėjo leisti jiems laikinai išjungti oro linijų apdovanojimų funkciją.
Dauguma pažeidžiamumų buvo pašalinti per kelias minutes ar valandą ir „Points.com“ reagavo tikrai sveikintinai greitai. Kiekvienu atveju, pranešus apie pažeidžiamumą, interneto svetainės buvo iškart išjungtos ir problemos buvo greitai ištaisytos. Šie atradimai suteikia vertingų įžvalgų apie galimą riziką, susijusią su centralizuotomis platformomis, kuriose tvarkomi daugelio didelių prekių ženklų neskelbtini duomenys. Koordinuoti ir greiti points.com komandos veiksmai pabrėžia tyrėjų ir organizacijų bendradarbiavimo svarbą stiprinant saugumą ir apsaugant klientų informaciją.
