На Booking.com нашли уязвимость аутентификации, позволяющую угнать аккаунт

Екатерина Быстрова 03 Марта 2023 - 10:21

...

На Booking.com нашли уязвимость аутентификации, позволяющую угнать аккаунт

В системе аутентификации сайта Booking.com нашлись уязвимости, позволяющие условным злоумышленникам получить контроль над аккаунтами пользователей, а также просмотреть их данные, включая платёжную информацию.

На проблемы указали исследователи из компании Salt Security. По их словам, брешь крылась в имплементации механизма OAuth на платформе Booking.com. Напомним, что открытый протокол OAuth позволяет аутентифицироваться с помощью аккаунтов в сторонних системах без передачи третьей стороне логина и пароля.

«Проблема безопасности в OAuth может привести к краже личности, поспособствовать проведению мошеннических финансовых операций и открыть доступ к информации пользователя, включая личные сообщения и данные банковских карт», — пишут специалисты Salt Security в блоге.

В частности, исследователи указали на проблему открытого редиректа на площадке Booking.com. Брешь проявляется при попытке войти на сайт с помощью аккаунта в Facebook (признана экстремистской и запрещена в России). Эксперты связали в общую цепь три бреши, что позволило им получить полный контроль над атакуемым аккаунтом.

«Как только злоумышленник войдёт в учётную запись, он сможет осуществить любое действие от имени атакованного пользователя, а также получить полный доступ к его персональным данным», — объясняют в Salt Security.

Эксперты передали сведения об уязвимости представителям Booking.com. В настоящее время проблема должна быть устранена.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 17 Июля 2025 - 19:15

Соответствие законодательству РФ Домашние пользователи Государство

Минцифры предлагает предоставлять отсрочки ИТ-специалистам без дипломов

Минцифры предложило расширить перечень ИТ-специалистов, имеющих право на отсрочку от призыва в армию. Нововведения касаются тех, кто окончил обучение, но на момент формирования списков ещё не получил диплом о высшем образовании.

Соответствующий проект опубликован на Портале проектов нормативных актов. К уже действующим критериям планируется добавить два новых:

Право на отсрочку получат сотрудники аккредитованных ИТ-компаний, завершившие обучение, но не имеющие диплома на момент формирования списков Минцифры (например, если выпуск состоялся в январе, а диплом будет выдан в феврале). В этом случае документ необходимо будет предоставить в призывную комиссию отдельно;
В перечень ИТ-специальностей для получения отсрочки предложено включить дополнительные направления: магистратуру по специальностям «Радиофизика» и «Статистика», бакалавриат по направлению «Ядерная физика и технологии» и ряд других.

«Изменения помогут молодым специалистам без перерыва строить карьеру в ИТ, а также позволят сохранить квалифицированные кадры в отрасли. При этом новые правила не создадут дополнительной нагрузки для бизнеса», — отметили в Минцифры.

Если поправки будут приняты, они вступят в силу с 2026 года и не затронут осенний призыв 2025 года.