חברת הסייבר "סולט סקיוריטי" חשפה ליקויי אבטחה חמורים בממשק ה-API של Booking.com אשר יצר אפשרות לתוקפים להשתלט על חשבונות של משתמשים, לקבל נתונים אישיים, לבטל או לבצע הזמנות ולבצע פעולות אחרות בשמם.
הפירצה כללה גם את משתמשי אתר ההזמנות הפופולרי Kayak.com, המשתייך אף הוא לקבוצת Booking וההרשמה אליו מתבצעת באמצעות מנגנון האישורים של הקבוצה, כך שהיא סיכנה מיליוני אנשים בעולם.
החברה פנתה לאנשי האבטחה של Booking, עדכנה אותם על הפרצות ועל הדרכים לטפל בהן והליקויים תוקנו, בטרם התקבל מידע על ניצול של פרצות אלו לרעה.
הפרצה נוצרה דרך היישום OAuth הנמצא בשימוש על ידי Booking לצורך התחברות של משתמשים באמצעות חשבון הפייסבוק שלהם.
הפרצה שנוצרה יצרה אפשרות להאקרים לבצע שינויים בפרטים של משתמשי הפלטפורמה כדי להשיג שליטה מלאה בחשבונות שלהם, כולל מידע אישי, נתונים רגישים על פעולות ופרופיל המשתמשים שמאוחסנים בחברה באופן פנימי, להזמין חדרי מלון, לבטל הזמנות וכן שרותים נוספים ש-Booking מציעה כמו למשל הזמנת אמצעי תחבורה.
חולשות האבטחה התגלו ונותחו על ידי Salt Labs, זרוע המחקר של סולט סקיוריטי. היישום של פרוטוקול OAuth פופולרי באתרים לצורך זיהוי וחיבור של משתמשים לקוחות באמצעות חשבונות המדיה החברתית שלהם, בלחיצה אחת, במקום באמצעות רישום משתמש מסורתי הכרוך בתהליך מורכב יותר של אימות שם משתמש וסיסמה.
לדברי יניב בלמס, סמנכ"ל המחקר של סולט סקיוריטי שהוביל את תהליך הזיהוי והתיקון של הליקויים: "OAuth הפך במהרה לסטנדרט בתעשייה, מאחר והוא מספק למשתמשים חוויה קלה ונעימה באינטרקציה עם אתרים ונמצא כיום בשימוש על ידי מאות אלפי שירותים ברחבי העולם".
"כתוצאה מכך, לתצורות שגויות של OAuth יכולה להיות השפעה משמעותית הן על חברות והן על לקוחות, שכן הם משאירים נתונים מהותיים חשופים לתוקפים", הוסיף, "כתוצאה מההתרחבות המהירה של התחום, ארגונים רבים נותרים לא מודעים לאינספור סיכוני אבטחה שקיימים בפלטפורמות שלהם".
מחברת בוקינג נמסר: "עם קבלת הדוח מ-Salt Security הצוותים שלנו חקרו מיד את הממצאים, ופתרו במהירות את הפגיעות מבלי שהיא תהווה חשיפה לפלטפורמה של Booking.com בשום אופן. אנו מתייחסים ברצינות רבה להגנה על נתוני לקוחות. לצד העובדה כי אנו מטפלים בכל הנתונים האישיים בהתאם לסטנדרטים הבינלאומיים הגבוהים ביותר, אנו גם מחדשים ללא הרף את התהליכים והמערכות שלנו כדי להבטיח אבטחה מיטבית בפלטפורמה שלנו, תוך ביצועי הערכה מחודשת שלהן ושיפור אמצעי האבטחה הנוקשים שכבר יש ברשותנו. כחלק מכך, אנו מבצעים שיתופי פעולה עם קהילת האבטחה העולמית, שמקדמים גם את תכנית Bug Bounty שלנו".