Wouter Hoeffnagel - 06 maart 2023

API-beveiligingsfouten ontdekt bij Booking.com

API-beveiligingsfouten ontdekt bij Booking.com image

API's van Booking.com bevatten verschillende kritieke beveiligingsfouten, meldt API-beveiligingsbedrijf Salt Security op basis van een dreigingsanalyse. De fouten zijn inmiddels gevonden en vormen geen bedreiging voor gebruikers.

De fouten zijn gevonden in de Open Authorization (OAuth) social-login-functionaliteit, die wordt gebruikt door Booking.com. De fouten kunnen mogelijk invloed hebben gehad op alle gebruikers, die via een Facebook account inlogden. De verkeerde OAuth-configuraties hadden niet alleen grootschalige account take-overs (ATO) van klanten mogelijk kunnen maken, maar ook servers in gevaar kunnen brengen.

Cybercriminelen zouden hierdoor het volgende konden doen:

  • Platformgebruikers manipuleren om volledige controle over hun accounts te krijgen;
  • Persoonlijk identificeerbare informatie en andere gevoelige gebruikersdata lekken, die intern op de site waren opgeslagen;
  • Acties uit kunnen voeren namens de gebruiker, zoals het boeken of annuleren van reserveringen en het bestellen van vervoerservice.

Kwetsbare implementatie van OAuth

Onderzoekers van Salt Labs ontdekten de security problemen in de sociale inlogfunctionaliteit die wordt gebruikt door Booking.com. Deze is geïmplementeerd middels een industry-standard protocol genaamd OAuth. OAuth is populair bij websites en webservices omdat het gebruikers met één klik laat inloggen op sites via sociale media-accounts. Hierdoor hoeven gebruikers niet in te logggen via een gebruikersnaam en wachtwoord.
 
Hoewel OAuth gebruikers een veel eenvoudigere inlog-ervaring biedt, kan de complexe technische back-end security problemen veroorzaken. Door bepaalde stappen in de OAuth-reeks op de Booking.com-site te manipuleren, ontdekten de onderzoekers van Salt Labs dat ze sessies konden kapen, account take-overs (ATO) konden bewerkstelligen, gebruikersdata konden stelen en acties konden uitvoeren namens gebruikers.
 
Elke gebruiker van Booking.com, die is geconfigureerd om in te loggen met Facebook, kan door dit probleem zijn getroffen. Kayak.com (onderdeel van hetzelfde moederbedrijf, Booking Holdings Inc.) zou ook getroffen kunnen zijn, omdat het gebruikers in staat stelt in te loggen met Booking.com inloggegevens.

Problemen snel verholpen

Na het ontdekken van de kwetsbaarheden hebben de onderzoekers van Salt Labs Booking.com onmiddellijk op de hoogte gesteld, waardoor alle problemen snel waren verholpen. Er is dan ook geen bewijs dat cybercriminelen van deze fouten misbruik hebben gemaakt. Booking geeft het volgende commentaar op het incident: "Na ontvangst van het Salt Security rapport hebben onze teams de bevindingen onmiddellijk onderzocht en vastgesteld dat het Booking.com platform niet was gecompromitteerd. Hierdoor was de kwetsbaarheid snel verholpen. Wij nemen de bescherming van klantgegevens uiterst serieus. Niet alleen behandelen we alle persoonlijke gegevens volgens de hoogste internationale normen, maar we innoveren ook voortdurend onze processen en systemen om optimale veiligheid op ons platform te garanderen, terwijl we de robuuste veiligheidsmaatregelen die we al hebben, evalueren en verbeteren. Als onderdeel van dit streven staan wij open voor samenwerking met de wereldwijde security community, en ons Bug Bounty programma zou in deze gevallen moeten worden gebruikt."

"OAuth is de industriestandaard geworden en wordt momenteel gebruikt door honderdduizenden services over de hele wereld,” aldus Yaniv Balmas, VP of Research bij Salt Security. "Als gevolg hiervan kunnen verkeerde configuraties van OAuth een aanzienlijke impact hebben op zowel bedrijven als klanten, omdat ze kostbare data blootstellen aan slechte actoren. Security problemen kunnen zich op elke website voordoen. Bovendien zijn veel organisaties, als gevolg van snelle schaalvergroting, zich niet altijd bewust van de talloze securityrisico’s die binnen hun platformen afspelen."

Sterke toename van API-aanvalsverkeer

Volgens het Salt Security State of API Security Report, Q3 2022, ondervonden Salt-klanten een toename van 117% in API-aanvalsverkeer, terwijl hun totale API-traffic met 168% toenam. Het Salt Security API Protection Platform stelt bedrijven in staat om risico's en kwetsbaarheden in API's te identificeren voordat ze worden misbruikt door aanvallers, waaronder degene die worden vermeld in de OWASP API Security Top 10. Het platform beschermt API's gedurende hun volledige levenscyclus door gebruikers op cloudschaal en beproefde ML/AI zichtbaarheid, controle en de context te geven die ze nodig hebben. Op deze manier kunnen ze de meest waardevolle data beschermen en op tijd actie ondernemen.    

Meer informatie is hier beschikbaar.

Axians 12/11/2024 t/m 26/11/2024 BN+BW