ליקוי אבטחה באתר בוקינג אפשר הזמנת חדרי מלון על חשבון אחרים
את הליקוי חשפה סולט סקיוריטי הישראלית, ולדבריה הוא סיכן את מי שהשתמשו בחשבון הפייסבוק שלהם לשם רישום בבוקינג ו-Kayak.com, ויצר אפשרות להזמנת וביטול מקומות לינה וכן לשינוי מידע אישי של בעלי החשבונות
ליקוי אבטחה בממשק ה-API של אתר בוקינג (Booking.com) יצר אפשרות לתוקפים להשתלט על חשבונות של משתמשים, לקבל נתונים אישיים, לבטל או לבצע הזמנות ולבצע פעולות אחרות בשמם, כך חשפה באחרונה חברת הסייבר הישראלית סולט סקיוריטי (Salt Security).
הפירצה כללה גם את משתמשי אתר ההזמנות הפופולרי Kayak.com, המשתייך אף הוא לקבוצת בוקינג ושההרשמה אליו מתבצעת באמצעות מנגנון האישורים של הקבוצה, כך שהיא סיכנה מיליוני אנשים בעולם. סולט סקיוריטי פנתה לאנשי האבטחה של בוקינג, עדכנה אותם על הפרצות ועל הדרכים לטפל בהן, והליקויים תוקנו, בטרם התקבל מידע על ניצול של פרצות אלו לרעה.
הפרצה נוצרה דרך היישום OAuth הנמצא בשימוש על ידי בוקינג לצורך התחברות של משתמשים באמצעות חשבון הפייסבוק שלהם.
הפרצה שנוצרה סיפקה אפשרות להאקרים לבצע שינויים בפרטים של משתמשי הפלטפורמה, כדי להשיג שליטה מלאה בחשבונות שלהם, כולל מידע אישי, נתונים רגישים על פעולות ופרופיל המשתמשים שמאוחסנים בחברה באופן פנימי, וכן האפשרות להזמין חדרי מלון, לבטל הזמנות וכן שירותים נוספים שבוקינג מציעה, כמו למשל הזמנת אמצעי תחבורה.
חולשות האבטחה התגלו ונותחו על ידי Salt Labs – זרוע המחקר של סולט סקיוריטי.
הסכנות שבחיבור באמצעות פרוטוקול OAuth
היישום של פרוטוקול OAuth פופולרי באתרים לצורך זיהוי וחיבור של משתמשים ולקוחות באמצעות חשבונות המדיה החברתית שלהם, בלחיצה אחת, במקום באמצעות רישום משתמש מסורתי, הכרוך בתהליך מורכב יותר של אימות שם משתמש וסיסמה.
יניב בלמס, מנהל קורס הסייבר של צ'ק פוינט. צילום: יח"צ
לדברי יניב בלמס, סמנכ"ל המחקר של סולט סקיוריטי שהוביל את תהליך הזיהוי והתיקון של הליקויים, OAuth הפך במהרה לסטנדרט בתעשייה, מאחר שהוא מספק למשתמשים חוויה קלה ונעימה באינטראקציה עם אתרים ונמצא כיום בשימוש על ידי מאות אלפי שירותים ברחבי העולם. כתוצאה מכך, לתצורות שגויות של OAuth יכולה להיות השפעה משמעותית הן על חברות והן על לקוחות, שכן הם משאירים נתונים מהותיים חשופים לתוקפים". בלמס הוסיף כי "כתוצאה מההתרחבות המהירה של התחום, ארגונים רבים נותרים לא מודעים לאינספור סיכוני אבטחה שקיימים בפלטפורמות שלהם".
סולט סקיוריטי הוקמה בשנת 2016 על ידי רועי אליהו (המנכ"ל) ומייקל ניקוסיה (מנהל התפעול הראשי) וגייסה מאז הקמתה מעל 271 מיליון דולר, בשווי שהגיע ל-1.4 מיליארד דולר. החברה היא חלוצת תחום ה- API security, המתמקד באבטחת ממשקי API דרכם עוברת רוב תעבורת האינטרנט העולמית ומתבצע חיבור בין אפליקציות ושירותים דיגיטליים.
למרות היקף המידע שעובר דרכם ורגישותו, ארגונים עובדים עם ממשקים פריצים ברובם. לכן תוקפים הפנו את התמקדותם לממשקים אלו, המאפשרים גישה לנתונים ושירותים קריטיים.
סולט סקיוריטי פיתחה פלטפורמה לאבטחת API מוגנת בפטנט, אשר מבוססת בינה מלאכותית וביג דאטה, העוזרת לארגונים לזהות חולשות אבטחה ב-APIs עוד בתהליך הפיתוח, מאתרת באופן אוטומטי את כל ממשקי ה-APIs בארגון, מזהה תקיפות בזמן אמת וחוסמת תוקפים לפני שנגרם נזק. פריסת הפלטפורמה בארגונים מתבצעת תוך מספר דקות, באופן אוטומטי, ללא כל צורך בהתאמה אישית מצד הלקוח.
תגובת בוקינג
בוקינג התייחסו לפרשה ומסרו כי "עם קבלת הדו"ח מ-סולט סקיוריטי הצוותים שלנו חקרו מיד את הממצאים, ופתרו במהירות את הפגיעות, מבלי שהיא תהווה חשיפה לפלטפורמה של Booking.com בשום אופן. אנו מתייחסים ברצינות רבה להגנה על נתוני לקוחות. לצד העובדה כי אנו מטפלים בכל הנתונים האישיים בהתאם לסטנדרטים הבינלאומיים הגבוהים ביותר, אנו גם מחדשים ללא הרף את התהליכים והמערכות שלנו כדי להבטיח אבטחה מיטבית בפלטפורמה שלנו, תוך ביצועי הערכה מחודשת שלהן ושיפור אמצעי האבטחה הנוקשים שכבר יש ברשותנו. כחלק מכך, אנו מבצעים שיתופי פעולה עם קהילת האבטחה העולמית, שמקדמים גם את תכנית Bug Bounty שלנו".
גם אני נפגעתי , נקבע מלון בסכום אגדי בעיר מכה בערב הסעודית