航旅業大地震：常旅客積分系統曝嚴重漏洞

黑客可利用常旅客系統漏洞竊取客戶隱私數據和積分，甚至控制整個系統給任何人授予無限飛行里程或酒店住宿積分。

Points.com是全球航空公司和酒店常旅客積分計劃的主要數字基礎設施提供商之一。近日，安全研究人員發現Points.com的API中存在可利用漏洞，攻擊者可利用這些漏洞泄漏客戶數據、竊取客戶的“忠誠貨幣”（例如里程），甚至接管Points全球管理帳戶獲得對整個忠誠度計劃的控制權。

知名航空公司和酒店通常有自己的常旅客或所謂忠誠度（積分）獎勵計劃，許多此類計劃的數字基礎設施（包括達美航空的“飛凡里程常客計劃”、美聯航的前程萬里(MileagePlus)、希爾頓的榮譽客會和萬豪旅享家）都搭建在Points.com的平臺上，后端系統和服務套件包括API也都由Points.com提供。

黑客可授予任何用戶無限里程

研究人員IanCarroll、ShubhamShah和SamCurry在今年3月至5月期間向Points報告了一系列嚴重漏洞，此后所有漏洞均已得到修復。

其中一個漏洞允許研究人員從PointsAPI基礎設施的一個部分遍歷到另一個內部系統，進而能夠查詢獎勵計劃客戶訂單。該系統包含2200萬條訂單記錄，其中包含客戶獎勵帳號、地址、電話號碼、電子郵件地址和部分信用卡號碼等數據。Points.com對系統一次可以返回的響應數量進行了限制，這意味著攻擊者無法立即轉儲整個數據庫。但研究人員指出，隨著時間的推移，查找特定個人或慢慢從系統中吸取數據是可能的。

研究人員發現的另一個漏洞是API配置問題，攻擊者可能僅憑姓名和會員編號即可為任何用戶生成帳戶授權令牌。這兩條數據可以來自以前的數據泄漏事件，也可以通過利用第一個漏洞獲取。有了這個令牌，攻擊者就可以接管客戶帳戶，并將里程或其他獎勵積分轉移給自己，從而“掏空”受害者的帳戶。

研究人員還發現另外兩個類似的漏洞，其中一個僅影響維珍航空的VirginRed常旅客計劃，另一個僅影響美聯航的前程萬里常旅客計劃。（Points.com已經修復了這兩個漏洞）

最重要的是，研究人員在Points.com全球管理網站中還發現了一個漏洞，其中分配給每個用戶的加密cookie使用了易于猜測的秘密（“秘密”一詞本身，即secret）進行加密，這使得研究人員可以輕松解密Points.com的cookie，重新分配網站的全局管理員權限，重新加密cookie，并可開啟“上帝模式”訪問任何積分獎勵系統，甚至授予帳戶無限里程或其他好處。

行業共享平臺成黑客重點目標

“令我驚訝的是，世界上幾乎每個大品牌都使用Points的忠誠度積分系統，”Shah說道：“從這一點來看，我很清楚，發現Points系統中的漏洞將對每家使用其忠誠度后端的公司產生連鎖效應。我相信，一旦其他黑客意識到以Points為目標意味著他們能在忠誠度系統上竊取無限的積分，Points.com將成為熱門攻擊目標。”

Points發言人CarrieMumford在一份聲明中表示：“作為我們正在進行的數據安全活動的一部分，Points最近與一群熟練的安全研究人員合作，研究系統中潛在的網絡安全漏洞。”“沒有證據表明這些信息存在惡意或濫用行為，安全研究人員訪問的所有數據均已被銷毀。與任何負責任的披露一樣，Points在得知該漏洞后立即采取行動，解決并修復所報告的問題。我們的補救措施已經通過第三方網絡安全專家的審查和驗證。”

發現漏洞的研究人員證實，Points的修復措施有效，而且Points在解決這些披露問題方面反應非常積極且協作。該小組之所以發掘Points的系統漏洞，部分原因是長期以來對忠誠獎勵計劃的內部運作感興趣，其中一位安全研究人員本人甚至經營著一個優化里程和銷售機票的旅游網站。該事件也從側面表明安全研究人員開始將關注重點放在那些向眾多企業或機構提供共享基礎設施的行業平臺上。

與此同時，越來越多的不法分子也開始將行業關鍵業務平臺作為重點目標，進行供應鏈攻擊并開展間諜活動，或發現廣泛使用的軟件和設備中的漏洞并利用它們進行網絡犯罪攻擊。

“我們正在努力尋找高影響力的系統和平臺，因為這些平臺一旦遭到攻擊者入侵，可能會造成重大損失，”Curry說：“我認為很多公司掌握了超過預期的海量數據和系統，但他們不一定會認真評估自己的數據安全能力。”