Серьезные недостатки безопасности API могут повлиять на веб-сайты для онлайн-бронирования

Исследователи Salt Labs обнаружили уязвимости в системе входа через социальные сети, используемой Booking.com и реализованной с помощью стандартного отраслевого протокола OAuth. Популярный среди веб-сайтов и веб-сервисов, OAuth позволяет пользователям входить на сайты, используя свои учетные записи в социальных сетях, одним щелчком мыши вместо «традиционной» регистрации пользователя и аутентификации по имени пользователя и паролю.

Неправильные настройки OAuth могли привести как к крупномасштабному захвату учетных записей в учетных записях клиентов, так и к компрометации сервера, что позволило злоумышленникам:

• манипулировать пользователями платформы, чтобы получить полный контроль над их учетными записями;
• украсть личную информацию и другие конфиденциальные пользовательские данных, хранящихся внутри сайтов;
• выполнить какие-либо действия от имени пользователя, такие как бронирование или отмена бронирования и заказ транспортных услуг.

Компания заявляет, что подобные недостатки могут повлиять на многие другие веб-сайты, использующие возможности входа через социальные сети.

Янив Балмас, вице-президент по исследованиям Salt Security, прокомментировал проблему:

«OAuth быстро стал отраслевым стандартом и в настоящее время используется сотнями тысяч сервисов по всему миру. В результате неправильные настройки OAuth могут оказать значительное влияние как на компании, так и на клиентов, поскольку они оставляют ценные данные открытыми для злоумышленников. Уязвимости безопасности могут возникнуть на любом веб-сайте, и в результате быстрого масштабирования многие организации не знают о множестве угроз безопасности, существующих на их платформах».

Хотя OAuth предоставляет пользователям гораздо более простой способ взаимодействия с веб-сайтами, его сложная техническая часть может создавать проблемы безопасности с потенциалом для эксплуатации.