
Los investigadores de ciberseguridad han revelado los detalles de una vulnerabilidad de adquisición de cuentas ahora repleta que afecta a un servicio de viajes en línea popular para alquileres de hoteles y automóviles.
“Al explotar este defecto, los atacantes pueden obtener acceso no autorizado a la cuenta de cualquier usuario dentro del sistema, permitiéndoles hacerse pasar por la víctima y realizar una variedad de acciones en su nombre, incluida la reserva de hoteles y alquileres de automóviles utilizando los puntos de lealtad de la aerolínea de la víctima, cancelando o editar información de reserva y más “, la firma de seguridad API Salt Labs dicho En un informe compartido con The Hacker News.
La explotación exitosa de la vulnerabilidad podría haber puesto en riesgo a millones de usuarios de aerolíneas en línea. El nombre de la compañía no fue revelado, pero dijo que el servicio está integrado en “docenas de servicios en línea de aerolíneas comerciales” y permite a los usuarios agregar reservas de hoteles a su itinerario aéreo.
La deficiencia, en pocas palabras, se puede armarse trivialmente enviando un enlace especialmente elaborado que puede propagarse a través de canales de distribución estándar como correo electrónico, mensajes de texto o sitios web controlados por atacantes. Hacer clic en el enlace es suficiente para que el actor de amenazas secuestre el control de la cuenta de la víctima tan pronto como se complete el proceso de inicio de sesión.
Los sitios que integran el servicio de reserva de alquiler tienen la opción de iniciar sesión en este último utilizando las credenciales asociadas con el proveedor de servicios de la aerolínea, momento en el que la plataforma de alquiler genera un enlace y redirige al usuario al sitio web de la aerolínea para completar la autenticación a través de OAuth.
Una vez que el inicio de sesión es exitoso, los usuarios están dirigidos a un sitio web que se adhiere al formato “
El método de ataque ideado por Salt Labs implica redirigir la respuesta de autenticación del sitio de la aerolínea, que incluye el token de sesión del usuario, a un sitio bajo el control del atacante manipulando un parámetro “tr_returnurl”, permitiéndoles acceder a la cuenta de la víctima en un no autorizado manera, incluida su información personal.
“Dado que el enlace manipulado utiliza un dominio legítimo del cliente (con la manipulación que ocurre solo a nivel de parámetros en lugar del nivel de dominio), esto hace que el ataque sea difícil de detectar a través de la inspección del dominio estándar o los métodos de lista de bloques/alquiler”, dijo el investigador de seguridad Amit Elbirt.
Salt Labs ha descrito las interacciones de servicio a servicio como un vector lucrativo para los ataques de la cadena de suministro de API, en el que un adversario se dirige al eslabón más débil en el ecosistema para entrar en sistemas y robar datos privados de clientes.
“Más allá de la mera exposición de datos, los atacantes pueden realizar acciones en nombre del usuario, como crear pedidos o modificar los detalles de la cuenta”, agregó Elbirt. “Este riesgo crítico destaca las vulnerabilidades en las integraciones de terceros y la importancia de los estrictos protocolos de seguridad para proteger a los usuarios del acceso y la manipulación no autorizados de la cuenta”.





