Olhar Digital > Segurança e Privacidade > Falhas críticas de segurança foram identificadas no Booking.com

Falhas críticas de segurança foram identificadas no Booking.com

Problemas já foram corrigidos
Por William Schendes, editado por Bruno Capozzi 07/03/2023 12h36, atualizada em 08/03/2023 13h44
Página do Booking.com
II.studio / Shutterstock
Compartilhe esta matéria
Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

Siga o Olhar Digital no Google Discover

Diversas falhas críticas de segurança foram encontradas no site Booking.com, que conta com mais de 100 milhões de usuário ativos. Um dos problemas mais graves era relacionado à funcionalidade Open Authorization (OAuth), que poderia afetar qualquer usuário que fizesse o login utilizando o Facebook.

Ofertas
Pentel Lapiseira Tecnica Graphgear 1000 0.5mm CP/PG1015-A
Vendido por Amazon
Pentel Lapiseira Tecnica Graphgear 1000 0.5mm CP/PG1015-A
De: R$ 113,17
Por: R$ 60,56
TP-Link BE11000 Tri-Band Whole Home Mesh WiFi 7, até 11 Gbps, MLO, 320 MHz, banda de 6 GHz, roteador wifi7, roaming de IA sem costura, segurança HomeShield, jogos e streaming (Deco BE65 2-pack)
Vendido por Amazon
TP-Link BE11000 Tri-Band Whole Home Mesh WiFi 7, até 11 Gbps, MLO, 320 MHz, banda de 6 GHz, roteador wifi7, roaming de IA sem costura, segurança HomeShield, jogos e streaming (Deco BE65 2-pack)
Por R$ 2.419,90
Tilibra - Agenda Costurada Diária 12,3 x 16,6 cm Charme 2026 - Flores - fundo rosa
Vendido por Amazon
Tilibra - Agenda Costurada Diária 12,3 x 16,6 cm Charme 2026 - Flores - fundo rosa
De: R$ 30,90
Por: R$ 27,81
Con-Tact Cristal Papel Adesivo 45cm x 25m, transparente com espessura 80 Micras. Ideal para Proteção e Revestimento - C180
Vendido por Amazon
Con-Tact Cristal Papel Adesivo 45cm x 25m, transparente com espessura 80 Micras. Ideal para Proteção e Revestimento - C180
De: R$ 109,23
Por: R$ 52,79
Garmin Relógio Venu 3 Preto 45mm com Monitor Cardíaco de Pulso e GPS
Vendido por Amazon
Garmin Relógio Venu 3 Preto 45mm com Monitor Cardíaco de Pulso e GPS
De: R$ 4.699,00
Por: R$ 3.099,00
Mouse Gamer Redragon Bullseye Pro, Wireless 2.4GHz Cabo ou Bluetooth, RGB, 7 Botões, 26000DPI, Preto - M806RGB-PRO
Vendido por Amazon
Mouse Gamer Redragon Bullseye Pro, Wireless 2.4GHz Cabo ou Bluetooth, RGB, 7 Botões, 26000DPI, Preto - M806RGB-PRO
De: R$ 316,25
Por: R$ 225,90
AuroraLink Adaptador Carplay sem fio para Apple iPhone e Android Auto 2 em 1, adaptador sem fio Carplay rápido e estável, converte com fio para dongle de reprodução de carro sem fio para iOS 10+
Vendido por Amazon
AuroraLink Adaptador Carplay sem fio para Apple iPhone e Android Auto 2 em 1, adaptador sem fio Carplay rápido e estável, converte com fio para dongle de reprodução de carro sem fio para iOS 10+
De: R$ 416,17
Por: R$ 241,03
Baba Eletronica, Camera de Segurança Wifi, Tela LCD, Áudio Bidirecional, VOX (Ativação por Voz), Alerta de Temperatura, Lembrete de Alimentação, 8 Canções, Sinal FHSS Criptografado
Vendido por Amazon
Baba Eletronica, Camera de Segurança Wifi, Tela LCD, Áudio Bidirecional, VOX (Ativação por Voz), Alerta de Temperatura, Lembrete de Alimentação, 8 Canções, Sinal FHSS Criptografado
De: R$ 399,99
Por: R$ 237,99
Câmera IP Sem Fio de Segurança Externa HD 3MP, Câmera de Visão Noturna Infravermelha WiFi, tripla Lente Grande Angular, IP68 à Prova D'água e à Prova de Poeira
Vendido por Amazon
Câmera IP Sem Fio de Segurança Externa HD 3MP, Câmera de Visão Noturna Infravermelha WiFi, tripla Lente Grande Angular, IP68 à Prova D'água e à Prova de Poeira
De: R$ 299,00
Por: R$ 216,11
Suporte Celular com Rastreamento Automático de Movimento e Rosto, Rotação de 360° Automática, Segue Seus Movimentos, Tripé Estabilizador Celular Câmera Inteligentecom, Com Controle Remoto, Lives
Vendido por Amazon
Suporte Celular com Rastreamento Automático de Movimento e Rosto, Rotação de 360° Automática, Segue Seus Movimentos, Tripé Estabilizador Celular Câmera Inteligentecom, Com Controle Remoto, Lives
De: R$ 84,90
Por: R$ 79,90
Basike Power Bank 30000mAh, Carregador Portátil com Carregamento Rápido, USB-A (até 22,5W, QC) + USB-C (até 20W, PD) + 2 Cabos Integrados (USB-C e Lightning), LED Numeric Power Display – Preto
Vendido por Amazon
Basike Power Bank 30000mAh, Carregador Portátil com Carregamento Rápido, USB-A (até 22,5W, QC) + USB-C (até 20W, PD) + 2 Cabos Integrados (USB-C e Lightning), LED Numeric Power Display – Preto
De: R$ 198,00
Por: R$ 174,00
CROWNFUL Balança de alimentos, balança digital de cozinha de 5 kg, peso onças e gramas para cozinhar e assar, 6 unidades com função de tara (bateria incluída)
Vendido por Amazon
CROWNFUL Balança de alimentos, balança digital de cozinha de 5 kg, peso onças e gramas para cozinhar e assar, 6 unidades com função de tara (bateria incluída)
De: R$ 59,99
Por: R$ 37,99
Fone De Ouvido Headset Gamer Com Microfone, Falante 40mm, Plug 3.5mm, Compatível com Computador, Celular e Video Games
Vendido por Amazon
Fone De Ouvido Headset Gamer Com Microfone, Falante 40mm, Plug 3.5mm, Compatível com Computador, Celular e Video Games
Por R$ 59,49
Monitor 20 Polegadas, HD v, Taxa de Atualização 75Hz, Alto-falantes Integrados, Tempo de Resposta 5ms, Conexões HDMI/VGA, Preto
Vendido por Amazon
Monitor 20 Polegadas, HD v, Taxa de Atualização 75Hz, Alto-falantes Integrados, Tempo de Resposta 5ms, Conexões HDMI/VGA, Preto
De: R$ 299,00
Por: R$ 284,04
Smartwatch, HUAWEI WATCH GT 5 Pro 46mm, Cerâmica e Titânio, Monitoramento Esportivo Profissional, Mapas de campos de golfe, Até 2 Semanas de Bateria, Compatível com iOS e Android, Preto
Vendido por Amazon
Smartwatch, HUAWEI WATCH GT 5 Pro 46mm, Cerâmica e Titânio, Monitoramento Esportivo Profissional, Mapas de campos de golfe, Até 2 Semanas de Bateria, Compatível com iOS e Android, Preto
De: R$ 1.895,00
Por: R$ 1.439,90
Redragon MOUSE GAMER INVADER CHROMA RGB - M719-RGB
Vendido por Amazon
Redragon MOUSE GAMER INVADER CHROMA RGB - M719-RGB
De: R$ 101,16
Por: R$ 94,90
Teclado Magnético Gamer Redragon Kumara PRO K552RGB USB RGB Preto Switch Marrom
Vendido por Amazon
Teclado Magnético Gamer Redragon Kumara PRO K552RGB USB RGB Preto Switch Marrom
De: R$ 330,05
Por: R$ 235,28
Kit Roteador Mesh Wi-Fi 6 Gigabit AX3000 - Deco X50(2-pack)(US)
Vendido por Amazon
Kit Roteador Mesh Wi-Fi 6 Gigabit AX3000 - Deco X50(2-pack)(US)
De: R$ 1.156,80
Por: R$ 727,20
GoPro Max 360 - Câmera de Ação à Prova d'água, Vídeo 360 5.6K, Reenquadramento 4K, Foto 360, GPS, Live 1080p, Max HyperSmooth, TimeWarp, Trava de horizonte, Capturas com bastão invisível
Vendido por Amazon
GoPro Max 360 - Câmera de Ação à Prova d'água, Vídeo 360 5.6K, Reenquadramento 4K, Foto 360, GPS, Live 1080p, Max HyperSmooth, TimeWarp, Trava de horizonte, Capturas com bastão invisível
De: R$ 2.699,00
Por: R$ 2.069,90
Garmin Relógio Forerunner 965 Preto 47mm com Monitor Cardíaco de Pulso e GPS
Vendido por Amazon
Garmin Relógio Forerunner 965 Preto 47mm com Monitor Cardíaco de Pulso e GPS
Por R$ 5.999,00
HP, Impressora HP Laser 107a. Tecnologia de impressão Laser Impressora para Pequenas e Médias Empresas. Conectividade: USB 2.0 de alta velocidade (4ZB77A), Branco/Cinza
Vendido por Amazon
HP, Impressora HP Laser 107a. Tecnologia de impressão Laser Impressora para Pequenas e Médias Empresas. Conectividade: USB 2.0 de alta velocidade (4ZB77A), Branco/Cinza
De: R$ 899,00
Por: R$ 799,90
  • As falhas foram identificadas pela empresa de segurança de APIs (Interface de Programação de Aplicações) Salt Security.
  • As configurações incorretas do OAuth poderiam ter permitido ataques de aquisição de contas (ATO) e comprometido o servidor.
  • Assim, cibercriminosos poderiam tomar o controle total sobre as contas dos clientes.

Leia mais:

A vulnerabilidade também permitia o acesso de Informações Pessoais Identificáveis (PII) e dados confidenciais armazenados internamente no site – além da possibilidade de realizar ações em nome do usuário, como reservas, cancelamento e solicitação de serviços de transporte.

As falhas de segurança foram corrigidas. De acordo com os pesquisadores, não foram encontradas evidências que as vulnerabilidades de segurança foram exploradas.

O OAuth rapidamente se tornou o padrão da indústria e está atualmente em uso por centenas de milhares de serviços em todo o mundo. Como resultado, as configurações incorretas do OAuth podem ter um impacto significativo nas empresas e nos clientes, pois deixam dados preciosos expostos a agentes mal-intencionados. As vulnerabilidades de segurança podem acontecer em qualquer site e, como resultado do rápido dimensionamento, muitas organizações permanecem inconscientes da miríade de riscos de segurança que existem em suas plataformas.

 Disse Yaniv Balmas, vice-presidente de pesquisa da Salt Security.

Em nota enviada ao Olhar Digital, o Booking.com diz o seguinte:

Ao receber o relatório da Salt Security, nossa equipe imediatamente investigou os indícios, estabeleceu que não houve comprometimento da plataforma Booking.com e a vulnerabilidade foi rapidamente resolvida. Levamos a proteção dos dados do cliente extremamente a sério. Não apenas lidamos com todos os dados pessoais de acordo com os mais altos padrões internacionais, mas também inovamos continuamente nossos processos e sistemas para garantir a melhor segurança em nossa plataforma, enquanto avaliamos e aprimoramos as medidas de segurança robustas que já adotamos. Como parte disso, nós apoiamos a colaboração com a comunidade de segurança global e nosso programa Bug Bounty pode ser utilizado nessas situações.

Dark web vaza 2,1 milhões de cartões de crédito e débito

O Biden Cash, um mercado da dark web, publicou recentemente os dados de 2,1 milhões de cartões de crédito e débito em comemoração ao primeiro ano do serviço clandestino.

Em outubro de 2022, o BidenCash vazou gratuitamente cerca de 1,2 milhão de cartões de crédito na dark web.

Conforme relata o grupo de cibersegurança Cyble – o primeiro a identificar o vazamento -, as informações são de usuários de diversos países. O Brasil, que aparece na última colocação dos usuários com dados vazados, ainda conta com uma quantidade significativa de dados de cartões expostos, cerca de 19.700.

Para mais detalhes, clique aqui.

Imagem destaque: II.studio / Shutterstock.com

Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!

William Schendes
Redator(a)
William Schendes no Instagram William Schendes no Twitter William Schendes no LinkedIn

Jornalista em formação pela Universidade Metodista de São Paulo (UMESP). Mesmo com alguns assuntos negativos, gosta ficar atualizado e noticiar sobre diferentes temas da tecnologia.

Bruno Capozzi
Editor(a)
Bruno Capozzi no Instagram Bruno Capozzi no Twitter Bruno Capozzi no LinkedIn

Bruno Capozzi é jornalista formado pela Faculdade Cásper Líbero e mestre em Ciências Sociais pela PUC-SP, tendo como foco a pesquisa de redes sociais e tecnologia.

Ícone tagsTags: