[Vaya] Marriott Android App probablemente ha estado filtrando datos de la tarjeta de crédito por años

Recuerde cómo hoteles Marriott querían bloquear puntos de acceso WiFi y que todo el mundo a pagar por el acceso a Internet? Resulta que dar dinero Marriott para alojamiento tal vez no es una buena idea en el primer lugar. De acuerdo con el desarrollador de software Randy Westergren, se ha podido acceder a la información de los clientes en los servidores de Marriott sin una contraseña ya que la aplicación para Android fue lanzado en 2011.

01/26/2015 Reservas y Pago 10_02_04-Marriott Hotel Información comprometida por Web Servicio V

El problema es que de Marriott aplicación Android no utilizó ningún tipo de datos simbólicos o de autorización para acceder a sus reservas. Westergren creado un script de prueba de concepto de que simplemente se arrastró números de reservas a partir de un punto arbitrario hasta que encontró un número válido. Todo lo que necesitaba era un nombre y el número de reserva para acceder a las cuentas de los clientes en la página web de Marriott, y él podría conseguir que a causa de la aplicación. Esto presenta toda la información del usuario, incluyendo dirección, número de teléfono, detalles de la reserva, y los últimos cuatro dígitos del número de tarjeta de crédito. Por supuesto, no se puede ir en una juerga de gasto con las semifinales, pero esto es de datos útiles para el robo de identidad.

Inside-a-Marriott-clientes-cuenta

Westergren descubrió que podía modificar y cancelar las reservas que no eran su propia muy fácilmente con este método. Con los gastos de gastos de cancelación de la cadena Marriott, que bien podría haber conseguido todo el número de tarjeta de crédito. Para ser justos, Marriott tomó la vulnerabilidad en serio cuando se dio a conocer por Westergren. Una solución del lado del servidor se puso en marcha el 21 de enero.

[Forbes, Randy Westergren]


» » » [Vaya] Marriott Android App probablemente ha estado filtrando datos de la tarjeta de crédito por años