TTL OSINT

Утечка секретов и неограниченное количество миль: взлом крупнейшей платформы вознаграждений авиакомпаний и отелей

В марте и апреле 2023 года исследователи обнаружили и сообщили о многочисленных уязвимостях в системе безопасности компании points.com, крупного серверного провайдера программ вознаграждений авиакомпаний и отелей. Эти уязвимости включали несанкционированный доступ к конфиденциальной информации о клиентах, перевод баллов и полный административный контроль над системами компании points.com. Команда быстро отреагировала, отключив уязвимые веб-сайты и исправив все выявленные проблемы. Уязвимости позволили злоумышленнику запрашивать записи о заказах клиентов, переводить бонусные баллы и получать доступ к учетным записям клиентов. Кроме того, утечка учетных данных клиента программы Virgin Rewards позволила злоумышленнику подписывать запросы API от имени авиакомпании. Исследователи также обнаружили слабый секрет сеанса Flask, который предоставлял полный доступ к глобальной консоли администрирования points.com и административной панели loyalty wallet.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, предназначенного для более быстрой интеграции статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://samcurry.net/points-com

Выборочные показатели Compromise:

• https://lcp.points.com/v1/roles/configeditor
• https://buymiles.mileageplus.com/united/united_landing_page/#/en-US
• bb2cf0e85b20f13dcfebecb436c91b160f392fa2555961c23b3fcc67775edc50
• https://lcp.points.com/v1/search/orders/?limit=1000
• bd2e7256bf1011eda2410242ac11000a

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал