Bagaimana Peretas Dapat Membajak Program Hadiah Perjalanan Anda dan Menguras Miles Anda
5 min readBARUAnda sekarang dapat mendengarkan artikel Fox News!
Bagi sebagian besar dari kita, frequent flyer miles dan kartu kredit serta poin loyalitas hotel sangatlah berharga. Gagasan bahwa beberapa poin yang saya peroleh dengan susah payah mungkin hilang atau dicuri membuat saya langsung memeriksa aplikasi setiap program untuk memastikan saldonya sudah benar. Dan ada alasan bagus untuk khawatir.
Beberapa pendukung keamanan siber telah menemukan beberapa hal yang sangat meresahkan tentang perusahaan perdagangan loyalitas Points.com. Temuan terbaru dari peneliti keamanan siber Ian Carroll, Shubham Shah, dan Sam Curry menemukan informasi yang meresahkan tentang perusahaan tersebut.
Points.com menawarkan antarmuka pemrograman aplikasi yang luas untuk program hadiah perjalanan populer, termasuk program Delta SkyMiles, United MileagePlus, Hilton Honors, dan Marriott Bonvoy.
Menurut temuan penelititim melaporkan bahwa kerentanan tertentu untuk Points.com antara bulan Maret dan Mei 2023 membuatnya menarik bagi peretas. Kerentanan ini dapat dieksploitasi oleh peretas untuk mencuri poin perjalanan pelanggan, data mereka, dan berpotensi mendapatkan kendali penuh atas program loyalitas Poin. Inilah yang kami ketahui sejauh ini dan bagaimana Anda dapat melindungi diri Anda sendiri.
APAKAH HAL BARU INI AKAN MENGHADAPI PEKERJAAN ANDA? INI BUKTINYA
Penumpang berhenti sejenak untuk memeriksa informasi penerbangan yang ditampilkan di Bandara Nasional Ronald Reagan Washington pada 8 Agustus 2023 di Arlington, Virginia. (Chip Somodevilla/Getty Images)
Kerentanan apa yang ditemukan tim peneliti?
Masalah utama yang ditemukan dalam sistem Points.com adalah kemudahan menemukan detail seperti nomor akun hadiah pelanggan, alamat, nomor telepon, alamat email, dan sebagian nomor kartu kredit. Para peneliti menemukan manipulasi dalam sistem yang memungkinkan mereka berpindah dari satu bagian sistem Points API ke bagian lain, sehingga memberi mereka akses ke informasi ini.
CARA MEMULIHKAN FILE YANG DIBUAT DAN MEMULIHKAN DATA YANG DIPERBAIKI
Beberapa masalah kerentanan ditemukan pada Points.com (CyberGuy.com)
Meskipun ada batasan berapa banyak informasi yang dapat diterima seseorang pada satu waktu, para peneliti menunjukkan bahwa seorang peretas pasti dapat mencari informasi orang tertentu dan menyimpannya tanpa kesulitan. Selain itu, ditemukan masalah lain yang memungkinkan peretas mengambil nama belakang dan nomor hadiah seseorang, yang kemudian memungkinkan mereka mengambil alih akun pelanggan dan mentransfer miles atau poin hadiah lainnya ke diri mereka sendiri.
Untuk Virgin Red, para peneliti menemukan kebocoran kunci autentikasi yang memungkinkan penyerang mengakses data Points.com untuk Virgin Atlantic dan mengubah akun, seperti menambah atau menghapus poin atau mengubah pengaturan lainnya.
Untuk United MileagePlus, para peneliti menemukan kerentanan di situs administrasi global Points.com di mana cookie terenkripsi yang ditetapkan untuk setiap pengguna dienkripsi dengan rahasia yang mudah ditebak — kata “rahasia” itu sendiri. Hal ini memungkinkan penyerang mengeksekusi kode berbahaya di situs web dan berpotensi membahayakan seluruh platform Points.
Points.com telah memperbaiki kerentanan yang terkait dengan Virgin Red dan United MileagePlus.
LEBIH BANYAK: CARA MENGHINDARI SLIDE SEWA LIBURAN
Apa masalah terbesar yang ditemukan?
Mungkin masalah terbesar yang ditemukan adalah masalah yang memungkinkan peretas untuk masuk ke sistem poin mana pun yang mereka inginkan karena kerentanan yang ada dalam sistem administrasi global Points.com.
Apa yang ditemukan para peneliti adalah setiap pengguna diberikan cookie yang dienkripsi. Biasanya ini akan menjadi lapisan keamanan tambahan yang bagus.
Namun, cookie terenkripsi ini dienkripsi dengan kata “rahasia”, yang dapat dengan mudah ditebak oleh tim peneliti. Dan jika mereka bisa menebaknya, maka seorang hacker pasti bisa.
HANCURKAN PELACAKAN BLUETOOTH YANG TIDAK DIINGINKAN PERANGKAT DENGAN FITUR KEAMANAN BARU GOOGLE
Satu masalah besar bagi Points.com adalah peretas mana pun bisa masuk ke sistem poin mana pun. (CyberGuy.com)
Setelah mereka mendekripsi cookie, mereka dapat memberikan izin yang dimiliki oleh administrator global dan kemudian mengenkripsi ulang cookie mereka dengan sesuatu yang lebih rumit sehingga tidak ada yang dapat mendekripsinya lagi.
Jika peretas melakukan proses yang sama, mereka dapat mengakses sistem hadiah poin apa pun dan memberikan miles tanpa batas atau manfaat lain ke akun mana pun yang mereka inginkan.
LEBIH: 10 CARA PERJALANAN SEPERTI PROFESIONAL UNTUK PERJALANAN BEBAS KHAWATIR
Apa yang dapat saya lakukan untuk melindungi poin saya?
Menurut para peneliti, Points.com telah memperbaiki semua kerentanan yang mereka laporkan, dan tidak ada bukti bahwa ada pelaku jahat yang pernah mengeksploitasinya. Namun, mereka memperingatkan bahwa mungkin ada bug lain yang tidak diketahui dalam sistem yang dapat menimbulkan risiko bagi pelanggan dan program loyalitas. Oleh karena itu, berikut beberapa hal yang dapat Anda lakukan untuk bersikap proaktif terhadap akun hadiah Anda.
- Pantau akun Anda: Pantau akun hadiah Anda untuk mengetahui adanya aktivitas yang tidak biasa untuk melihat apakah ada perubahan signifikan yang telah dilakukan, seperti pengurangan besar poin atau hadiah Anda.
- Laporkan transaksi atau perubahan apa pun yang mencurigakan: Jika Anda melihat adanya perubahan yang Anda tahu tidak Anda lakukan pada akun loyalitas Anda, hubungi program hadiah Anda, laporkan setiap transaksi atau perubahan yang mencurigakan, dan lihat apa yang dapat mereka lakukan untuk membantu Anda.
- Ubah kata sandi Anda: Perbarui kata sandi untuk semua akun hadiah. Jadikan mereka kompleks dan unik. Pertimbangkan untuk menggunakan pengelola kata sandi untuk membantu Anda. Lihat pengelola kata sandi terbaik saya yang ditinjau oleh para ahli pada tahun 2023 dengan memeriksa Cyberguy.com/Kata Sandi
- Aktifkan otentikasi dua faktor (2FA): Ini adalah lapisan keamanan tambahan yang akan mencegah peretas mengakses akun Anda meskipun mereka memecahkan kata sandi Anda.
Kami menghubungi points.com, yang diakuisisi oleh Ditambah gelarpada tahun 2022, untuk mengomentari cerita ini, tetapi tidak mendapat tanggapan hingga tenggat waktu kami.
LAGI: ALAT PERJALANAN ONLINE BARU MEMUDAHKAN PENGGUNAAN POIN BUKAN MEMBAYAR TINGGAL HOTEL
Ada banyak cara untuk melindungi diri Anda dari peretas, seperti mengubah kata sandi. (CyberGuy.com)
Kesimpulan utama Kurt
Hal terakhir yang Anda inginkan adalah semua poin yang Anda peroleh dengan susah payah disimpan untuk liburan impian itu diambil dari Anda karena seorang peretas. Pastikan untuk selalu memeriksa akun Anda dan memperhatikan setiap pemberitahuan yang mungkin Anda terima dari program hadiah yang Anda tunjuk tentang pelanggaran besar terhadap informasi Anda.
Bagaimana perasaan Anda tentang tim peneliti yang menemukan kerentanan dalam sistem Points.com? Haruskah perusahaan diaudit secara rutin untuk masalah keamanan? Beri tahu kami dengan menulis kepada kami Cyberguy.com/Kontak
KLIK DI SINI UNTUK MENDAPATKAN APLIKASI FOX NEWS
Untuk peringatan keamanan saya lebih lanjut, berlangganan Buletin Laporan CyberGuy gratis saya dengan mengunjungi Cyberguy.com/Buletin
Hak Cipta 2023 CyberGuy.com. Semua hak dilindungi undang-undang.
