אם אתם מתכננים להזמין חופשה לחג הפסח שמתקרב, כדאי שתכירו את הסיכונים. חוקרי חברת הסייבר הישראלית Salt Security גילו באתר הזמנת החופשות בוקינג פרצת אבטחה שבה ניתן להשתלט על חשבונות משתמשים שנכנסו דרך עמוד הפייסבוק. לאחר הכניסה, מתאפשר לבצע כל פעולה בשם המשתמשים ולקבל גישה מלאה לחשבון, למידע האישי, ואף להזמנת חופשות עם האשראי השמור במערכת.
הפרצה נמצאה בתקן OAuth - הנותן הרשאות ושנועד לאפשר גישה בין יישומים, כמו למשל ללחוץ על קישור לבוקינג דרך אינסטגרם או פייסבוק - ישירות למשתמש בבוקינג ללא הזנת מייל וסיסמה. החוקרים גם מצאו שהתוקפים יכולים לנצל את הפרצה - ולהיכנס בהצלחה לחברה האחות Kayak.com.
סרטון ההדגמה לפריצה שערכו החוקרים של Salt Security, מספק סקירה חזותית על האופן שבו הם הצליחו "לחטוף" את תהליך ההתחברות של OAuth. לאחר אזהרת חברת הסייבר, כל תקלות האבטחה הועברו לחברת בוקינג, שפעלה במהירות כדי לטפל בבעיה מידית.
מחברת בוקינג נמסר בתגובה: "עם קבלת הדו"ח מ-Salt Security, הצוותים שלנו חקרו מיד את הממצאים והפגיעות נפתרה במהירות. אנו מתייחסים ברצינות רבה להגנה על נתוני לקוחות. אנו מחדשים ללא הרף את התהליכים והמערכות שלנו כדי להבטיח אבטחה מיטבית בפלטפורמה שלנו“