Las fallas de seguridad críticas en la implementación de Autorización Abierta (OAuth) de Booking.com podrían haber permitido a los atacantes lanzar adquisiciones de cuentas a gran escala, poniendo en riesgo los datos personales confidenciales de millones de personas, según la investigación de amenazas realizada por Salt Labs.
OAuth, un protocolo de inicio de sesión social estándar de la industria, permite a los usuarios iniciar sesión en sitios a través de sus cuentas de redes sociales, pero al manipular ciertos pasos en la secuencia de autorización de Booking.com, los investigadores de Salt Labs descubrieron que podían secuestrar sesiones y realizar adquisiciones de cuentas.
Obtener el control completo de las cuentas de las personas de esta manera habría permitido a los atacantes filtrar información de identificación personal y otros datos confidenciales de los usuarios, así como realizar cualquier acción en nombre del usuario, incluida la realización de reservas o cancelaciones.
Los investigadores dijeron que cualquier persona configurada para iniciar sesión en Booking.com a través de Facebook habría sido vulnerable y que, dada la popularidad de la función y el hecho de que el sitio tiene hasta 500 millones de visitantes cada mes, millones podrían haberse visto afectados por un explotación exitosa.
La amenaza se vio agravada por el hecho de que los atacantes podrían usar el inicio de sesión comprometido de Booking.com para obtener acceso a las cuentas de usuario de Kayak.com de la empresa hermana.
“OAuth se ha convertido rápidamente en el estándar de la industria y actualmente lo utilizan cientos de miles de servicios en todo el mundo”, dijo Yaniv Balmas, vicepresidente de investigación de Salt Security.
“Como resultado, las configuraciones incorrectas de OAuth pueden tener un impacto significativo tanto en las empresas como en los clientes, ya que dejan datos valiosos expuestos a los malos actores. Las vulnerabilidades de seguridad pueden ocurrir en cualquier sitio web y, como resultado del rápido escalamiento, muchas organizaciones desconocen la gran cantidad de riesgos de seguridad que existen dentro de sus plataformas”.
Al descubrir las vulnerabilidades, Salt Labs, el brazo de investigación de la empresa de seguridad de interfaz de programación de aplicaciones (API) Salt Security, siguió prácticas de divulgación coordinadas con Booking.com, y todos los problemas fueron solucionados. No hay evidencia de que las fallas hayan sido explotadas en la naturaleza.
“Al recibir el informe de Salt Security, nuestros equipos investigaron de inmediato los hallazgos y establecieron que la plataforma de Booking.com no se había visto comprometida y que la vulnerabilidad se resolvió rápidamente”, dijo un portavoz de Booking.com.
“Nos tomamos muy en serio la protección de los datos de los clientes. No solo manejamos todos los datos personales de acuerdo con los más altos estándares internacionales, sino que innovamos continuamente nuestros procesos y sistemas para garantizar una seguridad óptima en nuestra plataforma, mientras evaluamos y mejoramos las sólidas medidas de seguridad que ya tenemos implementadas.
“Como parte de este compromiso, agradecemos la colaboración con la comunidad de seguridad global, y nuestro programa Bug Bounty debe utilizarse en estos casos”.
Los investigadores también publicaron un desglose técnico detallado de la vulnerabilidad y cómo se aprovechó, que explica cómo pudieron encadenar tres problemas de seguridad separados para lograr la apropiación de cuentas.
“La vulnerabilidad descrita en este documento es una combinación de tres brechas de seguridad menores. La mayor parte del enfoque está en la primera brecha de seguridad, que permite al atacante elegir otra ruta para el redirect_uri”, dijeron.
“Cuando realiza una integración con Facebook u otro proveedor, es extremadamente importante proporcionar rutas codificadas para el redirect_uri en la configuración de Facebook”.
De acuerdo con la Estado de seguridad de Salt del informe de seguridad de la API, tercer trimestre de 2022los clientes de Salt experimentaron un aumento del 117 % en el tráfico de ataques de API, mientras que su tráfico de API general creció un 168 %.
La tendencia de crecimiento ha visto un número cada vez mayor de incidentes de alto perfil relacionados con el tráfico de API este año, incluido el reciente ataque a la empresa de telecomunicaciones australiana Optus, que vio nombres, direcciones, fechas de nacimiento, números de teléfono, direcciones de correo electrónico, licencia de conducir y pasaporte. datos relacionados con 11 millones de clientes robados y retenidos, un incidente tan grave en su alcance que el gobierno australiano ahora planea modificar sus regulaciones de seguridad de telecomunicaciones.