За период с марта по май 2023 года мы выявили множество уязвимостей безопасности на сайте points.com, бэкенд-провайдере множества бонусных программ авиакомпаний и гостиниц. Эти уязвимости позволяли атакующему получать доступ к чувствительной информации об аккаунтах клиентов. В том числе к именам, платёжным адресам, урезанной информации о кредитных картах, адресам электронной почты, телефонным номерам и записям о транзакциях.
Кроме того, атакующий мог использовать эти уязвимости для выполнения таких действий, как перенос бонусов из аккаунтов клиентов и получение неавторизованного доступа к веб-сайту глобального администрирования. Такой неавторизированный доступ давал атакующему все необходимые разрешения на выпуск бонусных баллов, управление бонусными программами, слежку за аккаунтами клиентов и выполнение различных административных функций.
Читать дальше →
Источник: Хабрахабр
Источник: autoRSS
Другие материалы на сайте b.Z - Записки о гаджетах, людях и музыке