サイバーセキュリティ研究者らは、複数の航空会社や高級ホテルのロイヤルティ プログラムを管理する Points.com プラットフォームを調査した結果、航空券やホテルの無料宿泊を可能にする欠陥を発見しました。
誰がそんなこと言ったのハッキングは政府に侵入するためにのみ使用されました?あるいは違法に回収する電子書籍そしてビデオゲーム?結局のところ、ハッカーは旅行して快適なホテルに滞在したいだけなのかもしれません。彼らが機会を逃したことを除けば。のサイバーセキュリティ研究者、Ian Carroll、Shubham Shah、Sam Curry は、重大なセキュリティ脆弱性を発見しました。航空会社とホテルのロイヤルティ プログラムを乗っ取る。
有名な「マイル」について話します。飛行機の旅を通じて蓄積され、しばらくすると無料航空券に変わるこれらのポイント。ホテル泊も同様です。サム・カリーにとって、その驚きは「世界中のほぼすべての主要ブランドが使用しているロイヤルティ・プログラムの中心的な組織があるという事実から」来た。実はプラットフォームは、ポイントドットコムエールフランス航空、KLMオランダ航空、エミレーツ航空、ヒルトン、ルフトハンザドイツ航空など、多くの航空会社やホテルグループのロイヤルティシステムを管理しています…リストは長いです。
ハッカーは無料の飛行機旅行とホテル宿泊の恩恵を受けていた可能性がある
研究者らは、プラットフォームの構造を詳しく調査することにより、ハッカーによる攻撃を可能にする脆弱性を発見しました。顧客アカウントからすべてのデータを取得する(身元、電子メール、住所など)。ハッカーは別のバグを悪用することで、姓とロイヤルティ ポイント数だけで ID トークンを作成し、アカウントにアクセスしてポイントを吸い上げます。さらに悪いことに、チームは Points.com が各ユーザーに暗号化された Cookie (これは正常です) を与えていることに気付きましたが、それを解く鍵は…「秘密」という言葉だった。もっと悪質なパスワードも見てきました、しかし、私たちはもっとよく見ました。
警告を受けて、ウェブサイトを管理している会社は、指摘されたすべての欠陥をすぐに修正しました。検査後、彼女はまた、彼らは搾取されていなかったと主張している。これらの修正は、研究者自身や他のサイバーセキュリティ専門家によって検証および検証されました。ロイヤルティプログラムを利用すれば心配する必要はありません、ポイントは保護されています。
![[ROM カスタム] 抑制された ROM](https://yumie.trade/statics/image/placeholder.png)
