Booking.com web sitesinin yetkilendirme sistemindeki kusurlar, saldırganların kullanıcı hesaplarını ele geçirmesine ve kişisel veya ödeme kartı verilerine ilişkin tam görünürlük elde etmesine ve ayrıca web sitesinin kardeş platformu Kayak.com’daki hesaplarda oturum açmasına izin verebilirdi. araştırmacılar bulmuşlardır.
Salt Security’den araştırmacılar, platformun aşağıdakileri uygulamasındaki sorunları keşfetti: OAuthfarklı sitelerin oturum açma kimlik bilgilerini paylaşmasına izin vermek için tasarlanmış açık bir yetkilendirme standardı. Blog yazısı bugün yayınlandı Bu amaç için özel olarak tasarlanmasa da protokol, web sitelerinin Facebook profillerinden veri okumasına veya örneğin Google kimlik bilgilerini kullanarak bir sitede oturum açmasına izin veren bir standart haline geldi. Çoğu kişi, kullanıcıların yeni bir oturum açma kimlik bilgisi seti oluşturmadan oturum açmasına izin veren bazı çevrimiçi hesaplar için “Facebook ile oturum aç” türü seçeneklere aşinadır.
“Güvenlik ihlali [via] Salt Security’de araştırmadan sorumlu başkan yardımcısı Yaniv Balmas gönderide, OAuth’un kimlik hırsızlığına, finansal dolandırıcılığa ve kredi kartı numaraları, özel mesajlar, sağlık kayıtları ve daha fazlası dahil olmak üzere her türlü kişisel bilgiye erişime yol açabileceğini yazdı.
Spesifik olarak, araştırmacılar Booking.com’da açık bir yeniden yönlendirme güvenlik açığı keşfettiler ve siteye “Facebook ile giriş yap” seçeneğiyle erişerek oturum açma başarısı elde ettiler. Gönderiye göre, nihayetinde üç güvenlik sorununu istismar ettiler ve hesabın tamamını ele geçirmek için bunları zincirlediler.
Balmas, “Giriş yaptıktan sonra, saldırgan, güvenliği ihlal edilmiş kullanıcılar adına herhangi bir eylem gerçekleştirebilir ve bir kullanıcının tüm kişisel bilgileri de dahil olmak üzere hesaba tam görünürlük elde edebilirdi” diye yazdı.
Konu, Booking Holdings Fortune 500 şirketinin bir parçası olan ve ayda 500 milyondan fazla ziyaretçisi olan, yaygın olarak kullanılan otel rezervasyonları web sitesinin müşterileri için ciddi bir veri ihlaline neden olabilirdi dedi. Site ayrıca kullanıcıların araba kiralamasına ve taksi rezervasyonu yapmasına da olanak tanır.
Balmas gönderide, “Bir saldırgan potansiyel olarak bir kurban adına yetkisiz isteklerde bulunabilir, mevcut rezervasyonları iptal edebilir veya rezervasyon geçmişi, kişisel tercihler ve gelecekteki rezervasyonlar gibi hassas kişisel bilgilere erişebilir.”
Salt Security, sorunları Booking.com’a ifşa etti ve araştırmacılar sorunları ele almak ve tamamen azaltmak için hızlı bir şekilde yanıt verdiği için övdü. Ayrıca Booking.com, Salt Security tarafından sağlanan bir açıklamada, sorunlar çözülmeden önce Booking.com platformunda taviz verildiğine dair herhangi bir kanıt bulunmadığını söyledi.
Şirket, “Salt Security’den raporu aldıktan sonra ekiplerimiz bulguları hemen inceledi ve Booking.com platformunda herhangi bir taviz olmadığını belirledi ve güvenlik açığı hızla çözüldü.” “Müşteri verilerinin korunmasını son derece ciddiye alıyoruz.”
OAuth Nasıl Çalışır?
Araştırmacıların Booking.com’un OAuth uygulamasını nasıl tehlikeye attığını anlamak için bir sitedeki standardın nasıl işlediğini ve Booking.com’un buna ilişkin yorumunun nasıl kusurlu olduğunu anlamak önemlidir.
OAuth, bir kullanıcı bir web sitesinde oturum açtığında ve birçok sitenin platformlar arası kimlik doğrulamasına izin vermek için kullandığı “Facebook ile oturum aç” seçeneğine tıkladığında devreye giriyor. Site daha sonra Facebook’a yeni bir pencere açacak ve kullanıcı siteyi ilk kez ziyaret ediyorsa, site ile ayrıntıları paylaşmak için izin isteyecektir. Değilse, Facebook otomatik olarak siteye kullanıcının kimliğini doğrular.
Kullanıcı, örneğin “Jane olarak devam et” gibi bir düğmeyi tıkladığında, Facebook web sitesi için özel olan ve kullanıcının Facebook profiliyle ilişkilendirilen gizli bir simge oluşturur. Facebook daha sonra belirteci, kullanıcıyı web sitesine yönlendirmek için kullanır ve bu belirteci, kullanıcının e-posta adresini almak için doğrudan Facebook ile iletişim kurmak için kullanır. Facebook daha sonra, sitenin kullanıcıya başarılı bir şekilde giriş yapmak için kullandığı adresi ve kullanıcıyla ilişkisini onaylar.
Facebook ve siteler arasındaki tüm bu iletişim, farklı URL’lere çeşitli yönlendirmeler içeriyor; burada araştırmacılar, kurbanın belirtecini veya kodunu çalmak için OAuth uygulamasından yararlanabildiler. Kötü uygulamalar nadir değildir; Gerçekten de geçen Mayıs ayındaki bir ihlalde saldırganlar, hassas müşteri hesabı verilerine erişmek için Salesforce yan kuruluşu Heroku’dan çalınan OAuth jetonlarını kullandı.
İstismar için Araç Bulma
Balmas, bu belirtecin saldırgan fırsatının yattığı yer olduğunu bilerek, bunun başarılı bir saldırı başlatmalarına nasıl izin vereceğini görmek için çeşitli parametreleri değiştirerek “akışın beklenmedik davranışlarına” neden olarak standardın uygulanmasının güvenliğini araştırdı. Buldukları şey, kullanıcıları araştırmacılar tarafından kontrol edilen URL’lere yönlendirmek için iki site arasındaki iletişimde meydana gelen URL yönlendirmelerini manipüle etmenin ve böylece Booking.com’da açık bir yeniden yönlendirme hatası oluşturmanın yollarıydı.
Balmas, “Booking.com’da Facebook kullanan tüm hesapları devralan bir bağlantı oluşturduk” diye yazdı. “Bağlantının kendisi meşru bir Facebook.com veya Booking.com etki alanına işaret ediyor, bu da tespit edilmesini zorlaştırıyor (manuel veya otomatik olarak).”
Araştırmacılar, bu yöntemin Kayak.com’da hesap devralmaya da izin verdiğini ve Google’dan Booking.com’da oturum açan kullanıcıları etkilediğini söyledi.
Kötü OAuth Uygulamalarının Daha Geniş Siber Riski
Balmas, Dark Reading’e, araştırmacıların raporda Booking.com’u tehlikeye atmak için yalnızca OAuth’u nasıl kullandıklarını açıklarken, kimlik doğrulama protokolünü uygunsuz şekilde uygulama riski taşıyan başka siteler keşfettiklerini söyledi.
“Popüler web sitelerinde ve Web hizmetlerinde OAuth kusurlarının birkaç başka örneğini gözlemledik” diyor. “Her sorunun sonuçları değişir ve hatanın kendisine bağlıdır. Bizim durumumuzda, tüm hesapların tamamen ele geçirilmesinden bahsediyoruz. Ve kesinlikle keşfedilmeyi bekleyen çok daha fazlası var.”
Balmas, OAuth’un site sahipleri için kullanıcı oturum açma sürecini atlatmak için kolay bir çözüm sunarak “uzun ve sinir bozucu” bir sorun olan sürtüşmeleri azalttığını söylüyor. Bununla birlikte, basit görünse de, teknolojiyi başarılı ve güvenli bir şekilde uygulamak, doğru teknik uygulama açısından aslında çok karmaşıktır ve tek bir küçük yanlış hareketin büyük bir güvenlik etkisi olabileceğini söylüyor.
Balmas, Dark Reading’e “Başka bir deyişle – bir web sitesine çalışan bir sosyal oturum açma işlevi koymak çok kolay, ancak bunu doğru bir şekilde yapmak çok zor” diyor.
Genel olarak Balmas, site sahiplerine OAuth’u “hizmetinizin hassas bir parçası olarak ele almalarını ve ya alanın dahili derin bilgisini oluşturmalarını, varsayımlarınızı doğrulamak için sürekli güvenlik testlerinden ve incelemelerinden geçmelerini ya da elbette her ikisini birden yapmalarını” tavsiye ediyor.
“Bu, kişinin hizmetinin bir parçası olan herhangi bir hassas yol/teknoloji ile ilgili genel bir tavsiyedir” diye ekliyor.