Múltiplas vulnerabilidades na popular plataforma de recompensas de companhias aéreas e hotéis points.com podem ter permitido que invasores acessassem informações pessoais dos usuários, alertam pesquisadores de segurança.
Atuando como um back-end para vários programas de recompensas de companhias aéreas e hotéis, o points.com também opera como um mercado para troca e resgate de pontos de fidelidade.
Ao longo de vários meses, os pesquisadores de segurança Ian Carroll, Shubham Shah e Sam Curry identificaram cinco defeitos de segurança na plataforma que poderiam ter fornecido aos invasores acesso não autorizado a informações confidenciais, como nomes, endereços, e-mails, números de telefone e transações.
Ademais, esses problemas podem permitir que invasores transfiram pontos entre contas e até acessem um site de administrador global, obtendo permissões para emitir pontos, gerenciar programas de fidelidade e executar várias ações administrativas, Sam Curry explica.
No início de março, os pesquisadores de segurança identificaram e relataram ao points.com um bug não autenticado de passagem de caminho HTTP que poderia ter sido explorado para acessar uma API interna expondo um banco de dados de 22 milhões de registros de pedidos.
“Os dados nos registros incluíam números parciais de cartão de crédito, endereços residenciais, endereços de e-mail, números de telefone, números de pontos de recompensa, tokens de autorização do cliente e detalhes de transações diversas. Essas informações podem ser consultadas por meio de uma chamada de API que retorna cem resultados por solicitação HTTP”, observa Curry.
Os pesquisadores também relataram um desvio de autorização em uma API configurada incorretamente, que poderia ter sido explorada para transferir pontos de prêmios de companhias aéreas dos usuários. O problema pode ter permitido que os invasores gerassem tokens de autorização de conta completa para gerenciar contas de clientes e visualizar suas informações.
Em abril, os pesquisadores relataram um bug que afetava a United Airlines, onde um invasor poderia gerar um token de autorização para qualquer conta de usuário, apenas sabendo seu número de recompensa e sobrenome.
“Por meio desse problema, um invasor pode transferir milhas para si mesmo e se autenticar como membro em vários aplicativos relacionados ao MileagePlus, incluindo potencialmente o painel do administrador do MileagePlus. Essa edição revelou o nome do membro, endereço de cobrança, informações de cartão de crédito redigidas, e-mail, número de telefone e transações anteriores na conta”, explica Curry.
Em maio, os pesquisadores descobriram um site de recompensas da Virgin hospedado em points.com vazando informações de autenticação de API, permitindo que um invasor se passasse pela companhia aérea e fizesse chamadas de API para modificar contas, adicionar/remover pontos e modificar as configurações do programa de recompensas da Virgin.
Também em maio, os pesquisadores descobriram o “segredo da sessão Flask para o site de administração global points.com”, que fornece gerenciamento de todos os locatários de companhias aéreas e contas de clientes, permitindo que eles criem cookies de sessão com permissões de superadministrador.
“Observamos que poderíamos acessar todas as principais funcionalidades de administração no site, incluindo pesquisa de usuário, bônus manuais, modificações de conversão de pontos de recompensa e muitos outros pontos de extremidade administrativos do points.com. Um invasor pode abusar desse acesso para revogar as credenciais existentes do programa de recompensas e desativar temporariamente a funcionalidade de recompensas da companhia aérea”, observa Curry.
Os pesquisadores observam que a equipe de segurança da points.com foi muito receptiva aos seus relatórios de vulnerabilidade, abordando cada problema em aproximadamente uma hora após a divulgação.