Vulnerabilidades en OAuth afectan a Booking.com
Salt Labs, la división de investigación de Salt Security, ha reportado la existencia de varias vulnerabilidades críticas en la implementación de la funcionalidad de inicio de sesión Open Authorization (OAuth) utilizada por Booking.com, que podría afectar a los usuarios que accedan al sitio mediante su cuenta de Facebook.
Según detalla la investigación, el compromiso de las cuentas de usuario y los servidores a través de estas vulnerabilidades podría permitir la filtración de información personal (PII) y la suplantación del usuario a la hora de realizar, por ejemplo, reservas, anulaciones o solicitudes de servicios de transporte.
Referencias
- 02/03/2023 salt.security Traveling with OAuth - Account Takeover on Booking.com
- 02/03/2023 salt.security Salt Security Uncovers API Security Flaws within Booking.com that Allowed Full Account Takeover – Issues have been Remediated
- 02/03/2023 infosecurity-magazine.com API Security Flaw Found in Booking.com Allowed Full Account Takeover
- 02/03/2023 darkreading.com Booking.com's OAuth Implementation Allows Full Account Takeover
- 02/03/2023 csoonline.com Booking.com account takeover flaw shows possible pitfalls in OAuth implementations
- 02/03/2023 securityboulevard.com Traveling with OAuth – Account Takeover on Booking.com