На Booking.com нашли уязвимость аутентификации, позволяющую угнать аккаунт

На Booking.com нашли уязвимость аутентификации, позволяющую угнать аккаунт

На Booking.com нашли уязвимость аутентификации, позволяющую угнать аккаунт

В системе аутентификации сайта Booking.com нашлись уязвимости, позволяющие условным злоумышленникам получить контроль над аккаунтами пользователей, а также просмотреть их данные, включая платёжную информацию.

На проблемы указали исследователи из компании Salt Security. По их словам, брешь крылась в имплементации механизма OAuth на платформе Booking.com. Напомним, что открытый протокол OAuth позволяет аутентифицироваться с помощью аккаунтов в сторонних системах без передачи третьей стороне логина и пароля.

«Проблема безопасности в OAuth может привести к краже личности, поспособствовать проведению мошеннических финансовых операций и открыть доступ к информации пользователя, включая личные сообщения и данные банковских карт», — пишут специалисты Salt Security в блоге.

В частности, исследователи указали на проблему открытого редиректа на площадке Booking.com. Брешь проявляется при попытке войти на сайт с помощью аккаунта в Facebook (признана экстремистской и запрещена в России). Эксперты связали в общую цепь три бреши, что позволило им получить полный контроль над атакуемым аккаунтом.

«Как только злоумышленник войдёт в учётную запись, он сможет осуществить любое действие от имени атакованного пользователя, а также получить полный доступ к его персональным данным», — объясняют в Salt Security.

Эксперты передали сведения об уязвимости представителям Booking.com. В настоящее время проблема должна быть устранена.

Геолокацию россиян предложили передавать полиции в случае опасности

Депутаты фракции «Новые люди» предложили МВД запустить сервис «Безопасный маршрут» — функцию для передачи геопозиции человека в полицию и экстренные службы, если ему угрожает опасность. Идея такая: человек сам включает временную передачу маршрута и геолокации, когда чувствует риск для жизни, здоровья или личной безопасности.

Об инициативе сообщает ТАСС. Функцию предлагают встроить в приложения «Госуслуги» и «МВД России», а также связать с цифровым контуром «Системы-112».

Письмо с предложением направили главе МВД Владимиру Колокольцеву. Работать это может как тревожный режим в смартфоне.

Пользователь заранее или прямо в опасной ситуации включает сервис, указывает конечную точку и примерное время прибытия. Либо выбирает готовый сценарий: «иду домой», «еду в такси», «нахожусь в опасной ситуации», «нужна помощь».

После активации система временно фиксирует маршрут и геолокацию. Если человек нажмёт тревожную кнопку, не подтвердит завершение маршрута или сработает другой заданный сценарий, данные передадут оператору «Системы-112» или в дежурную часть полиции.

Авторы инициативы считают, что сервис поможет быстрее определить местонахождение человека в экстренной ситуации и сократить время реакции полиции. А заодно использовать уже существующую цифровую инфраструктуру госприложений не только для справок и заявлений, но и для реальной помощи в момент, когда пользователю уже не до бюрократии.

По сути, депутаты предлагают превратить смартфон в тревожный маячок: включил маршрут, и в случае ЧП экстренные службы не начинают гадать, где тебя искать, а получают координаты.

RSS: Новости на портале Anti-Malware.ru