Pesquisadores da Salt Labs identificaram vulnerabilidades que poderiam ter permitido que invasores assumissem as contas dos usuários, mas não foram identificadas evidências de que isso tenha ocorrido
Uma série de falhas críticas de cibersegurança foram encontradas no Booking.com, principalmente na implementação da funcionalidade de login social Open Authorization (OAuth). Segundo a Salt Security, especializada em segurança de APIs, as falhas tinham o potencial de afetar qualquer usuário que fizesse login em qualquer site por meio de seu Facebook.
CONTEÚDO RELACIONADO: Check Point aponta alerta para segurança da nuvem com aumento de 48% nos ataques
Popular em sites e serviços da Web, o OAuth permite que os usuários façam login em sites usando suas contas de mídia social, com um clique, em vez de por meio de registro de usuário “tradicional” e autenticação de nome de usuário / senha.
As configurações incorretas do OAuth poderiam ter viabilizado tanto a apropriação em larga escala de contas (Account Takeover – ATO) quanto o comprometimento do servidor. Isso permitiria que cibercriminosos:
- manipulassem os usuários da plataforma para obter controle total sobre suas contas;
- acessassem Informações Pessoais Identificáveis (PII) e outros dados confidenciais do usuário armazenados internamente pelos sites;
- executassem qualquer ação em nome do usuário, como reservar ou cancelar reservas e solicitar serviços de transporte.
A Salt Labs, braço de pesquisa da Salt Security, descobriu as lacunas de segurança da API e forneceu a análise das vulnerabilidades. Seus pesquisadores descobriram fragilidades na segurança da funcionalidade de login social usada pelo booking.com, implementada com um protocolo padrão do setor chamado OAuth.
Ao descobrir as vulnerabilidades, os pesquisadores da Salt Labs seguiram práticas coordenadas de divulgação com Booking.com e todos os problemas foram remediados rapidamente, sem evidências de que essas falhas tenham sido exploradas.
Riscos para os usuários
Embora o OAuth forneça aos usuários uma experiência muito mais fácil na interação com sites, seu complexo back-end técnico pode criar problemas de segurança passíveis de serem explorados. Ao manipular certas etapas na sequência OAuth no site Booking.com, os pesquisadores da Salt Labs descobriram que poderiam sequestrar sessões e se apropriarem de contas, roubando dados dos usuários e realizando ações em nome deles.
Qualquer usuário Booking.com configurado para fazer login empregando o Facebook pode ter sido afetado por esse problema. O Booking.com suporta mais de 100 milhões de usuários ativos. Dada a popularidade de usar a opção “fazer login com o Facebook”, milhões de usuários poderiam estar em risco com esse problema.
Kayak.com (integrante da mesma empresa-mãe, a Booking Holdings Inc.) também poderia ter sido afetada, pois ela permite que os usuários façam login usando suas credenciais de Booking.com, aumentando em milhões o número de usuários suscetíveis a essas falhas de segurança.
Participe das comunidades IPNews no Instagram, Facebook, LinkedIn e Twitter.