Booking.com corrige vulnerabilidades críticas de sequestro de conta

Pesquisadores de segurança descobriram recentemente que a agência de viagens on-line Booking.com foi afetada por sérias vulnerabilidades que podem ter sido exploradas para assumir o controle total da conta de um usuário.

Os problemas foram identificados pela empresa de segurança de API Salt Security e relatados à Booking.com no início de dezembro de 2022. Os patches foram lançados nas próximas semanas e a Salt Security divulgou detalhes técnicos na quinta-feira.

As vulnerabilidades encontradas pelos pesquisadores da empresa de segurança giram em torno da maneira como a Booking.com implementou o OAuth, o padrão de autorização usado por muitos serviços online para permitir que os clientes façam login com suas contas do Google ou do Facebook.

No caso do Booking.com, as falhas estavam relacionadas à integração do OAuth com o Facebook. Um invasor pode ter explorado esses pontos fracos para assumir o controle total da conta de um usuário, obter suas informações pessoais da conta do Booking e executar ações em nome da vítima, como cancelar ou fazer reservas e solicitar serviços de transporte.

O problema também afetou o site irmão do Booking.com, Kayak.com, que permite aos usuários fazer login usando sua conta do Booking.

Para explorar essas vulnerabilidades, um invasor precisaria induzir o usuário-alvo a clicar em um link especialmente criado. Isso permitiria que o hacker capturasse o código de autenticação de um usuário logado para Booking.com abusando do mecanismo de login OAuth.

O invasor precisaria acessar sua própria conta da Booking.com a partir de um aplicativo móvel. No entanto, no pedido de autenticação enviado pela aplicação móvel ao servidor do Booking, necessitaram de substituir o seu próprio código pelo código da vítima. Isso lhes daria acesso total à conta da vítima.

A empresa de segurança acredita que milhões de usuários podem ter sido expostos a ataques potenciais que exploram essas vulnerabilidades.