😂 Утечка секретов и бесконечные мили: взлом крупнейшей бонусной платформы авиакомпаний и

😂 Утечка секретов и бесконечные мили: взлом крупнейшей бонусной платформы авиакомпаний и отелей

**В статье мы рассмотрим множество уязвимостей безопасности собранных на сайте **points.com — бэкенд-провайдере множества бонусных программ авиакомпаний и гостиниц

Эти уязвимости позволяли атакующему получать доступ к чувствительной информации об аккаунтах клиентов. В том числе к именам, платёжным адресам, урезанной информации о кредитных картах, адресам электронной почты, телефонным номерам и записям о транзакциях

В статье разберем: ** — **Атака обходом папок приводит к возможности запросов к базе данных о покупках клиентов Points.com ** — **Возможность переноса бонусных баллов и утечки информации о клиентах при помощи лишь бонусного номера и фамилии ** — **Утечка учётной информации авиакомпании в бонусной программе Virgin позволяла атакующему подписывать API-запросы от лица Virgin (прибавление/снятие бонусных баллов, доступ к аккаунтам клиентов, изменение параметров бонусной программы и так далее) ** — **Способ передачи авиамиль, доступа к аккаунту клиента, а также информации о заказах для участников United MileagePlus ** — **Полный доступ к панели глобального администрирования Points.com и панели администрирования кошельков программы лояльности при помощи слабого секрета сессии Flask ** — **Исследование Points.com ** — **Исследование веб-сайта управления бонусами United Airlines ** — **Эскалация уязвимости для влияния на другие бонусные программы

**Материал для самостоятельного изучения: • **Источник статьи

#Hacking** #Vulnerability 🥷 INSPECTOR**