航旅业大地震:常旅客积分系统曝严重漏洞

黑客可利用常旅客系统漏洞窃取客户隐私数据和积分,甚至控制整个系统给任何人授予无限飞行里程或酒店住宿积分。

Points.com是全球航空公司和酒店常旅客积分计划的主要数字基础设施提供商之一。近日,安全研究人员发现Points.com的API中存在可利用漏洞,攻击者可利用这些漏洞泄漏客户数据、窃取客户的“忠诚货币”(例如里程),甚至接管Points全球管理帐户获得对整个忠诚度计划的控制权。

知名航空公司和酒店通常有自己的常旅客或所谓忠诚度(积分)奖励计划,许多此类计划的数字基础设施(包括达美航空的“飞凡里程常客计划”、美联航的前程万里(MileagePlus)、希尔顿的荣誉客会和万豪旅享家)都搭建在Points.com的平台上,后端系统和服务套件包括API也都由Points.com提供。

黑客可授予任何用户无限里程

研究人员IanCarroll、ShubhamShah和SamCurry在今年3月至5月期间向Points报告了一系列严重漏洞,此后所有漏洞均已得到修复。

其中一个漏洞允许研究人员从PointsAPI基础设施的一个部分遍历到另一个内部系统,进而能够查询奖励计划客户订单。该系统包含2200万条订单记录,其中包含客户奖励帐号、地址、电话号码、电子邮件地址和部分信用卡号码等数据。Points.com对系统一次可以返回的响应数量进行了限制,这意味着攻击者无法立即转储整个数据库。但研究人员指出,随着时间的推移,查找特定个人或慢慢从系统中吸取数据是可能的。

研究人员发现的另一个漏洞是API配置问题,攻击者可能仅凭姓名和会员编号即可为任何用户生成帐户授权令牌。这两条数据可以来自以前的数据泄漏事件,也可以通过利用第一个漏洞获取。有了这个令牌,攻击者就可以接管客户帐户,并将里程或其他奖励积分转移给自己,从而“掏空”受害者的帐户。

研究人员还发现另外两个类似的漏洞,其中一个仅影响维珍航空的VirginRed常旅客计划,另一个仅影响美联航的前程万里常旅客计划。(Points.com已经修复了这两个漏洞)

最重要的是,研究人员在Points.com全球管理网站中还发现了一个漏洞,其中分配给每个用户的加密cookie使用了易于猜测的秘密(“秘密”一词本身,即secret)进行加密,这使得研究人员可以轻松解密Points.com的cookie,重新分配网站的全局管理员权限,重新加密cookie,并可开启“上帝模式”访问任何积分奖励系统,甚至授予帐户无限里程或其他好处。

行业共享平台成黑客重点目标

“令我惊讶的是,世界上几乎每个大品牌都使用Points的忠诚度积分系统,”Shah说道:“从这一点来看,我很清楚,发现Points系统中的漏洞将对每家使用其忠诚度后端的公司产生连锁效应。我相信,一旦其他黑客意识到以Points为目标意味着他们能在忠诚度系统上窃取无限的积分,Points.com将成为热门攻击目标。”

Points发言人CarrieMumford在一份声明中表示:“作为我们正在进行的数据安全活动的一部分,Points最近与一群熟练的安全研究人员合作,研究系统中潜在的网络安全漏洞。”“没有证据表明这些信息存在恶意或滥用行为,安全研究人员访问的所有数据均已被销毁。与任何负责任的披露一样,Points在得知该漏洞后立即采取行动,解决并修复所报告的问题。我们的补救措施已经通过第三方网络安全专家的审查和验证。”

发现漏洞的研究人员证实,Points的修复措施有效,而且Points在解决这些披露问题方面反应非常积极且协作。该小组之所以发掘Points的系统漏洞,部分原因是长期以来对忠诚奖励计划的内部运作感兴趣,其中一位安全研究人员本人甚至经营着一个优化里程和销售机票的旅游网站。该事件也从侧面表明安全研究人员开始将关注重点放在那些向众多企业或机构提供共享基础设施的行业平台上。

与此同时,越来越多的不法分子也开始将行业关键业务平台作为重点目标,进行供应链攻击并开展间谍活动,或发现广泛使用的软件和设备中的漏洞并利用它们进行网络犯罪攻击。

“我们正在努力寻找高影响力的系统和平台,因为这些平台一旦遭到攻击者入侵,可能会造成重大损失,”Curry说:“我认为很多公司掌握了超过预期的海量数据和系统,但他们不一定会认真评估自己的数据安全能力。”

参考链接:

前一篇黑客破解特斯拉汽车,可激活付费功能
后一篇“盗梦空间攻击”可窃取所有AMDZen处理器的机密数据