.
Programas de recompensas de viagens, como os oferecidos por companhias aéreas e hotéis, divulgam as vantagens específicas de ingressar em seu clube em detrimento de outros. Sob o capô, porém, a infraestrutura digital para muitos desses programas – incluindo Delta SkyMiles, United MileagePlus, Hilton Honors e Marriott Bonvoy – é construída na mesma plataforma. O back-end vem da empresa de comércio de fidelidade Points e seu conjunto de serviços, incluindo uma extensa interface de programação de aplicativos (API).
Mas novas descobertas, publicadas hoje por um grupo de pesquisadores de segurança, mostram que as vulnerabilidades na API do Points.com podem ter sido exploradas para expor os dados do cliente, roubar a “moeda de fidelidade” do cliente (como milhas) ou até mesmo comprometer as contas de administração global do Points. para obter o controle de programas de fidelidade inteiros.
Os pesquisadores – Ian Carroll, Shubham Shah e Sam Curry – relataram uma série de vulnerabilidades no Points entre março e maio, e todos os bugs foram corrigidos desde então.
“A surpresa para mim estava relacionada ao fato de haver uma entidade central para sistemas de fidelidade e pontos, que quase todas as grandes marcas do mundo usam”, diz Shah. “A partir deste ponto, ficou claro para mim que encontrar falhas neste sistema teria um efeito cascata para todas as empresas que utilizam seu back-end de fidelidade. Acredito que, uma vez que outros hackers perceberam que segmentar pontos significava que eles poderiam ter pontos ilimitados em sistemas de fidelidade, eles também teriam sucesso em atingir Points.com eventualmente.”
Um bug envolvia uma manipulação que permitia que os pesquisadores passassem de uma parte da infraestrutura da API de pontos para outra parte interna e, em seguida, consultassem os pedidos de clientes do programa de recompensa. O sistema incluiu 22 milhões de registros de pedidos, que contêm dados como números de contas de recompensas de clientes, endereços, números de telefone, endereços de e-mail e números parciais de cartão de crédito. A Points.com estabeleceu limites para quantas respostas o sistema poderia retornar por vez, o que significa que um invasor não poderia simplesmente despejar todo o tesouro de dados de uma só vez. Mas os pesquisadores observam que teria sido possível procurar indivíduos específicos de interesse ou desviar lentamente os dados do sistema ao longo do tempo.
Outro bug encontrado pelos pesquisadores foi um problema de configuração da API que poderia permitir que um invasor gerasse um token de autorização de conta para qualquer usuário apenas com seu sobrenome e número de recompensa. Esses dois dados podem ser encontrados por meio de violações anteriores ou podem ser obtidos explorando a primeira vulnerabilidade. Com esse token, os invasores podem assumir o controle das contas dos clientes e transferir milhas ou outros pontos de recompensa para si mesmos, esgotando as contas das vítimas.
Os pesquisadores encontraram duas vulnerabilidades semelhantes ao outro par de bugs, uma das quais afetou apenas o Virgin Red, enquanto a outra afetou apenas o United MileagePlus. A Points.com também corrigiu essas duas vulnerabilidades.
Mais significativamente, os pesquisadores descobriram uma vulnerabilidade no site de administração global Points.com, no qual um cookie criptografado atribuído a cada usuário havia sido criptografado com um segredo fácil de adivinhar – a própria palavra “segredo”. Ao adivinhar isso, os pesquisadores poderiam descriptografar seu cookie, reatribuir a si mesmos privilégios de administrador global para o site, criptografar novamente o cookie e, essencialmente, assumir recursos de modo divino para acessar qualquer sistema de recompensa de pontos e até mesmo conceder milhas ilimitadas ou outros benefícios às contas.
“Como parte de nossas atividades contínuas de segurança de dados, Points trabalhou recentemente com um grupo de pesquisadores de segurança qualificados sobre uma possível vulnerabilidade de segurança cibernética em nosso sistema”, disse Points em comunicado compartilhado pela porta-voz Carrie Mumford. “Não houve indícios de dolo ou uso indevido dessas informações, e todos os dados acessados pelo grupo foram destruídos. Como acontece com qualquer divulgação responsável, ao saber da vulnerabilidade, a Points agiu imediatamente para abordar e corrigir o problema relatado. Nossos esforços de correção foram examinados e verificados por especialistas terceirizados em segurança cibernética.”
Os pesquisadores confirmam que as correções funcionam e dizem que a Points foi muito receptiva e colaborativa ao abordar as divulgações. O grupo começou a investigar os sistemas da empresa em parte por causa de um interesse de longa data no funcionamento interno dos programas de fidelidade. Carroll ainda administra um site de viagens relacionado à otimização de passagens aéreas pagas com milhas. Porém, de forma mais ampla, os pesquisadores concentram seu trabalho em plataformas que se tornam críticas porque atuam como infraestrutura compartilhada entre várias organizações ou instituições.
Agentes mal-intencionados também estão se concentrando cada vez mais nessa estratégia, realizando ataques à cadeia de suprimentos para espionagem ou encontrando vulnerabilidades em software e equipamentos amplamente usados e explorando-os em ataques cibercriminosos.
“Estamos tentando encontrar sistemas de alto impacto nos quais, se um invasor for capaz de comprometê-los, pode haver danos significativos”, diz Curry. “Acho que muitas empresas acidentalmente chegam a um ponto em que são responsáveis por muitos dados e sistemas, mas não necessariamente param e avaliam a posição em que estão.”
Esta história apareceu originalmente em wired.com.
.
