Pesquisadores de segurança cibernética revelaram detalhes de uma vulnerabilidade grave, agora corrigida, que poderia ter exposto milhões de usuários de um popular serviço de viagens online. A falha permitia o acesso não autorizado às contas, possibilitando que invasores realizassem diversas ações em nome das vítimas, como modificar reservas, usar pontos de fidelidade e acessar informações pessoais.
De acordo com o relatório da Salt Labs, os invasores podiam explorar a falha enviando um link malicioso que, ao ser clicado, sequestrava o controle da conta da vítima assim que o login fosse concluído. Essa técnica explorava a integração OAuth entre um serviço de reservas e várias companhias aéreas comerciais.
Como a vulnerabilidade funcionava
O problema residia no processo de autenticação do serviço de reservas, que redirecionava usuários para um domínio de formato <serviço-de-reserva>.<provedor-aéreo>.sec. Durante o redirecionamento, os invasores manipulavam o parâmetro “tr_returnUrl”, direcionando a resposta de autenticação para um site controlado por eles. Esse processo concedia acesso total à conta da vítima, incluindo seus dados e pontos de fidelidade.
Por utilizar um domínio legítimo, o ataque era difícil de identificar com métodos tradicionais de inspeção de domínio ou listas de bloqueio/permissão. Isso tornava a falha ainda mais perigosa, uma vez que um único clique em um link malicioso era suficiente para comprometer a conta.
Notícias Relacionadas
Segurança online
Microsoft testa novo recurso para combater golpes no Edge
A Microsoft testa no navegador Edge um bloqueador de scareware baseado em aprendizado de máquina para detectar e impedir golpes de suporte técnico em tempo real.
Ataque cibernético
DeepSeek suspende novos registros após ataque cibernético
DeepSeek, plataforma chinesa de IA, suspendeu novos registros após um ataque cibernético de grande escala. Especialistas sugerem vulnerabilidades no modelo, destacando riscos de segurança.
Lições aprendidas
Segundo Amit Elbirt, pesquisador da Salt Labs, a falha demonstra a vulnerabilidade de integrações de terceiros em ecossistemas digitais. Adversários frequentemente buscam explorar o elo mais fraco em cadeias de suprimentos de API para acessar dados sensíveis e executar ações maliciosas em nome das vítimas.
“Além de expor informações pessoais, os invasores podem manipular detalhes da conta ou realizar transações indevidas. Esse incidente reforça a importância de protocolos de segurança mais rigorosos para proteger os usuários contra acessos não autorizados e manipulações”, destacou Elbirt.
Esse caso evidencia a necessidade de aprimorar a segurança em integrações de serviços online, garantindo que brechas como essa não comprometam a privacidade e segurança dos usuários.
