تعرض أميال الخطوط الجوية ونقاط الفنادق وبيانات المستخدم المجانية للخطر بسبب العيوب في منصة النقاط
[ad_1]
برامج مكافآت السفر مثل تلك التي تقدمها شركات الطيران والفنادق التي تروج للامتيازات المحددة للانضمام إلى ناديهم على حساب الآخرين. تحت الغطاء ، على الرغم من ذلك ، تم بناء البنية التحتية الرقمية للعديد من هذه البرامج – بما في ذلك Delta SkyMiles و United milesPlus و Hilton Honors و Marriott Bonvoy – على نفس النظام الأساسي. تأتي الواجهة الخلفية من شركة بوينتس للتجارة الولاء ومجموعة خدماتها ، بما في ذلك واجهة برمجة تطبيقات موسعة (API).
لكن النتائج الجديدة ، التي نُشرت اليوم من قبل مجموعة من الباحثين الأمنيين ، تُظهر أنه يمكن استغلال الثغرات الأمنية في Points.com API لفضح بيانات العملاء ، أو سرقة “عملة ولاء العملاء” (مثل الأميال) ، أو حتى اختراق حسابات الإدارة العالمية لـ Points للسيطرة على برامج الولاء بالكامل.
أبلغ الباحثون – إيان كارول وشوبهام شاه وسام كاري – عن سلسلة من نقاط الضعف في النقاط بين مارس ومايو ، وتم إصلاح جميع الأخطاء منذ ذلك الحين.
يقول شاه: “كانت المفاجأة بالنسبة لي مرتبطة بحقيقة وجود كيان مركزي لأنظمة الولاء والنقاط ، والتي تستخدمها تقريبًا كل علامة تجارية كبيرة في العالم”. “من هذه النقطة ، كان من الواضح لي أن العثور على عيوب في هذا النظام سيكون له تأثير متتالي على كل شركة تستخدم خلفية ولاءها. أعتقد أنه بمجرد أن أدرك المتسللون الآخرون أن استهداف Points يعني أنه من المحتمل أن يكون لديهم نقاط غير محدودة على أنظمة الولاء ، فقد نجحوا أيضًا في استهداف Points.com في النهاية “.
تضمن أحد الأخطاء التلاعب الذي سمح للباحثين بالانتقال من جزء واحد من البنية التحتية لـ Points API إلى جزء داخلي آخر ثم الاستعلام عنه لطلبات عملاء برنامج المكافآت. تضمن النظام 22 مليون سجل طلبات ، والتي تحتوي على بيانات مثل أرقام حسابات مكافآت العملاء والعناوين وأرقام الهواتف وعناوين البريد الإلكتروني وأرقام بطاقات الائتمان الجزئية. كان لدى موقع Points.com قيود على عدد الاستجابات التي يمكن للنظام إرجاعها في كل مرة ، مما يعني أن المهاجم لا يمكنه ببساطة تفريغ مجموعة البيانات بالكامل دفعة واحدة. لكن الباحثين لاحظوا أنه كان من الممكن البحث عن أفراد معينين مهمين أو سحب البيانات ببطء من النظام بمرور الوقت.
خلل آخر وجده الباحثون هو مشكلة تكوين واجهة برمجة التطبيقات (API) التي كان من الممكن أن تسمح للمهاجمين بإنشاء رمز تفويض حساب مميز لأي مستخدم باسم العائلة ورقم المكافآت فقط. يمكن العثور على هاتين القطعتين من البيانات من خلال الانتهاكات السابقة أو يمكن الاستيلاء عليها من خلال استغلال الثغرة الأمنية الأولى. باستخدام هذا الرمز المميز ، يمكن للمهاجمين الاستيلاء على حسابات العملاء وتحويل الأميال أو نقاط المكافآت الأخرى لأنفسهم ، مما يؤدي إلى استنزاف حسابات الضحية.
[ad_2]
xnxx,
xvideos,
porn,
porn,
xnxx,
Phim sex,
mp3 download,
sex 4K,
Straka Pga,
gay teen porn,
Hentai haven,
free Hentai,
xnxx,
xvideos,
porn,
porn,
xnxx,
Phim sex,
mp3 download,
sex 4K,
Straka Pga,
gay teen porn,
Hentai haven,
free Hentai,