برامج مكافآت السفر مثل تلك التي تقدمها شركات الطيران والفنادق التي تروج للامتيازات المحددة للانضمام إلى ناديهم على حساب الآخرين. تحت الغطاء ، على الرغم من ذلك ، تم بناء البنية التحتية الرقمية للعديد من هذه البرامج – بما في ذلك Delta SkyMiles و United milesPlus و Hilton Honors و Marriott Bonvoy – على نفس النظام الأساسي. تأتي الخلفية من شركة تجارة الولاء نقاط ومجموعة خدماتها ، بما في ذلك واجهة برمجة تطبيقات موسعة (API).
لكن النتائج الجديدة ، نشرت اليوم من قبل مجموعة من الباحثين الأمنيين ، أظهروا أنه كان من الممكن استغلال الثغرات الأمنية في Points.com API لفضح بيانات العملاء ، أو سرقة “عملة ولاء العملاء” (مثل الأميال) ، أو حتى اختراق حسابات الإدارة العالمية لـ Points للسيطرة على كامل برامج الولاء.
أبلغ الباحثون – إيان كارول وشوبهام شاه وسام كاري – عن سلسلة من نقاط الضعف في النقاط بين مارس ومايو ، وتم إصلاح جميع الأخطاء منذ ذلك الحين.
يقول شاه: “كانت المفاجأة بالنسبة لي مرتبطة بحقيقة وجود كيان مركزي لأنظمة الولاء والنقاط ، والتي تستخدمها تقريبًا كل علامة تجارية كبيرة في العالم”. “من هذه النقطة ، كان من الواضح لي أن العثور على عيوب في هذا النظام سيكون له تأثير متتالي على كل شركة تستخدم خلفية ولاءها. أعتقد أنه بمجرد أن أدرك المتسللون الآخرون أن استهداف Points يعني أنه من المحتمل أن يكون لديهم نقاط غير محدودة على أنظمة الولاء ، فقد نجحوا أيضًا في استهداف Points.com في النهاية “.
تضمن أحد الأخطاء التلاعب الذي سمح للباحثين بالانتقال من جزء واحد من البنية التحتية لـ Points API إلى جزء داخلي آخر ثم الاستعلام عنه لطلبات عملاء برنامج المكافآت. تضمن النظام 22 مليون سجل طلبات ، والتي تحتوي على بيانات مثل أرقام حسابات مكافآت العملاء والعناوين وأرقام الهواتف وعناوين البريد الإلكتروني وأرقام بطاقات الائتمان الجزئية. كان لدى موقع Points.com قيود على عدد الاستجابات التي يمكن للنظام إرجاعها في كل مرة ، مما يعني أن المهاجم لا يمكنه ببساطة تفريغ مجموعة البيانات بالكامل دفعة واحدة. لكن الباحثين لاحظوا أنه كان من الممكن البحث عن أفراد معينين مهمين أو سحب البيانات ببطء من النظام بمرور الوقت.
خلل آخر وجده الباحثون هو مشكلة تكوين واجهة برمجة التطبيقات (API) التي كان من الممكن أن تسمح للمهاجمين بإنشاء رمز تفويض حساب مميز لأي مستخدم يحمل فقط اسمه الأخير ورقم المكافآت. يمكن العثور على هاتين القطعتين من البيانات من خلال الانتهاكات السابقة أو يمكن الاستيلاء عليها من خلال استغلال الثغرة الأمنية الأولى. باستخدام هذا الرمز المميز ، يمكن للمهاجمين الاستيلاء على حسابات العملاء وتحويل الأميال أو نقاط المكافآت الأخرى لأنفسهم ، مما يؤدي إلى استنزاف حسابات الضحية.
وجد الباحثون نقطتي ضعف مشابهتين للزوج الآخر من الأخطاء ، أثرت إحداهما على Virgin Red فقط بينما أثرت الأخرى على United PostalPlus فقط. قام موقع Points.com بإصلاح كل من هذه الثغرات الأمنية أيضًا.
الأهم من ذلك ، وجد الباحثون ثغرة أمنية في موقع الإدارة العالمية Points.com حيث تم تشفير ملف تعريف ارتباط مشفر مخصص لكل مستخدم بسر يسهل تخمينه – كلمة “سر” نفسها. من خلال تخمين ذلك ، يمكن للباحثين فك تشفير ملفات تعريف الارتباط الخاصة بهم ، وإعادة تعيين امتيازات المسؤول العالمي للموقع ، وإعادة تشفير ملف تعريف الارتباط ، والافتراض بشكل أساسي إمكانات تشبه الوضع الإلهي للوصول إلى أي نظام لمكافأة النقاط وحتى منح الحسابات أميالاً غير محدودة أو مزايا أخرى.