Мир: Приложение Marriott для Android в течение четырех лет было подвержено критической уязвимости

2

Приложение сети гостиниц Marriott для Android-устройств в течение последних четырех лет содержало критическую уязвимость. Как сообщает старший разработчик ПО компании XDA-Developers Рэнди Вестегрен (Randy Westegren), брешь позволяла злоумышленникам получить персональные данные любого клиента Marriott. О своей находке специалист написал на своем сайте.


Вестегрен обнаружил, что данные о бронировании номеров для членов специальной программы Marriott проверяются без прохождения аутентификации. Таким образом, исследователь может ввести любой идентификатор пользователя и получить детальную информацию о забронированном им номере, гостинице, дате въезда и его имени. С этой информацией специалисту удалось войти в личный кабинет на web-сайте Marriott и получить персональные данные о клиенте, включая его адрес, контактные данные и платежную информацию.

Исследователь отправил разработчикам приложения PoC-код, позволяющий любому злоумышленнику получить информацию о любом пользователе программы лояльности Marriott. Написанный им скрипт проверяет все номера пользователей и останавливается, когда находит клиента, забронировавшего номер. Официальное приложение Marriott для Android было запущено в 2011 г. Вестегрен считает, что уязвимость присутствовала в программе еще с момента ее выпуска. Специалист указал, что разработчики исправили брешь уже на следующий день после того, как он сообщил о ней. (Marriott/NovostIT)