Programas de recompensas de viagens como os oferecidos por companhias aéreas e hotéis, que divulgam as vantagens específicas de ingressar em seu clube em detrimento de outros. Sob o capô, porém, a infraestrutura digital para muitos desses programas – incluindo Delta SkyMiles, United MileagePlus, Hilton Honors e Marriott Bonvoy – é construída na mesma plataforma. O back-end vem da empresa de comércio de fidelidade Pontos e seu conjunto de serviços, incluindo uma extensa interface de programação de aplicativos (API).
Mas novas descobertas, Publicados hoje por um grupo de pesquisadores de segurança, mostram que as vulnerabilidades na API do Points.com podem ter sido exploradas para expor os dados do cliente, roubar a “moeda de fidelidade” do cliente (como milhas) ou até mesmo comprometer as contas de administração global do Points para obter o controle de todo o Programas de fidelidade.
Os pesquisadores – Ian Carroll, Shubham Shah e Sam Curry – relataram uma série de vulnerabilidades no Points entre março e maio, e todos os bugs foram corrigidos desde então.
“A surpresa para mim estava relacionada ao fato de haver uma entidade central para sistemas de fidelidade e pontos, que quase todas as grandes marcas do mundo usam”, diz Shah. “A partir deste ponto, ficou claro para mim que encontrar falhas neste sistema teria um efeito cascata para todas as empresas que utilizam seu back-end de fidelidade. Acredito que, uma vez que outros hackers perceberam que segmentar pontos significava que eles poderiam ter pontos ilimitados em sistemas de fidelidade, eles também teriam sucesso em atingir Points.com eventualmente.”
Um bug envolvia uma manipulação que permitia que os pesquisadores passassem de uma parte da infraestrutura da API de pontos para outra parte interna e, em seguida, consultassem os pedidos de clientes do programa de recompensa. O sistema incluiu 22 milhões de registros de pedidos, que contêm dados como números de contas de recompensas de clientes, endereços, números de telefone, endereços de e-mail e números parciais de cartão de crédito. A Points.com estabeleceu limites para quantas respostas o sistema poderia retornar por vez, o que significa que um invasor não poderia simplesmente despejar todo o tesouro de dados de uma só vez. Mas os pesquisadores observam que teria sido possível procurar indivíduos específicos de interesse ou desviar lentamente os dados do sistema ao longo do tempo.
Outro bug encontrado pelos pesquisadores foi um problema de configuração da API que poderia permitir que um invasor gerasse um token de autorização de conta para qualquer usuário apenas com seu sobrenome e número de recompensa. Esses dois dados podem ser encontrados por meio de violações anteriores ou podem ser obtidos explorando a primeira vulnerabilidade. Com esse token, os invasores podem assumir o controle das contas dos clientes e transferir milhas ou outros pontos de recompensa para si mesmos, esgotando as contas das vítimas.
Os pesquisadores encontraram duas vulnerabilidades semelhantes ao outro par de bugs, uma das quais afetou apenas o Virgin Red, enquanto a outra afetou apenas o United MileagePlus. A Points.com também corrigiu essas duas vulnerabilidades.
Mais significativamente, os pesquisadores descobriram uma vulnerabilidade no site de administração global Points.com, no qual um cookie criptografado atribuído a cada usuário havia sido criptografado com um segredo fácil de adivinhar – a própria palavra “segredo”. Ao adivinhar isso, os pesquisadores poderiam descriptografar seu cookie, reatribuir privilégios de administrador global para o site, criptografar novamente o cookie e, essencialmente, assumir recursos semelhantes ao modo divino para acessar qualquer sistema de recompensa de pontos e até mesmo conceder milhas ilimitadas ou outros benefícios às contas. .
