Booking.com の OAuth 実装に脆弱性：Facebook アカウントを用いたログインに影響

API Security Flaw Found in Booking.com Allowed Full Account Takeover

2023/03/02 InfoSecurity — オンライン旅行会社 Booking.com が使用しているソーシャル・ログイン機能 Open Authorization (OAuth) の実装に、複数のセキュリティ上の欠陥があることが判明した。Salt Security が発見した脆弱性は、Facebook アカウントを用いて同サイトにログインしているユーザーに、影響が生じる可能性があるというものだ。

Salt Security の Security Researcher である Aviad Carmel は「OAuth のミスコンフィグレーションは、顧客のアカウントに対する大規模なアカウント乗っ取り (ATO : Account Takeover) と、サーバー侵害のを可能にする恐れがある」と述べている。

セキュリティ専門家たちは、OAuth は Web サイトとのインタラクションにおいて、ユーザー・エクスペリエンスが向上した一方で、その複雑な技術的バックエンドには、悪用によるセキュリティ問題を引き起こす可能性があると述べている。

Salt Security の VP of Research である Yaniv Balmas は、「OAuth は急速に業界標準となり、現時点においては、世界中の何十万ものサービスで使用されている。その結果として、OAuth のミスコンフィグレーションは、貴重なデータを悪意のある者に晒すことになり、企業と顧客の双方に大きな影響を与える可能性がある」と述べている。 

研究者たちは、Booking.com のサイトで OAuth シーケンスの特定ステップを操作することで、この脆弱性が明らかになったと述べている。

Yaniv Balmas は、「セッションを乗っ取った後に、アカウント・テイクオーバー (ATO) を実現し、ユーザーデータを盗み出し、ユーザーになりすましてアクションを実行できることが判明した」と指摘している。

Booking.com は、この欠陥が発見された後に、修正と報告を行ったと述べている。同社の広報担当者は、「Salt Security からの報告を受け、当社のチームは直ちに調査し、Booking.com プラットフォームへの侵害がないことを確認し、脆弱性は速やかに解決された」と述べている。

Salt Labs は、この脆弱性が野放し状態で悪用された形跡はないと述べている。

昨年の今頃には GitHub が、盗み出した OAuth トークンを使って、プライベート・リポジトリにアクセスする脅威アクターにより、複数の組織が危険にさらされたと報告している。

さらに、最近では Microsoft が、脅威アクターにより侵害されたクラウド・テナントに、OAuth アプリケーションがインストールされ、Exchange サーバの制御やスパムの拡散に悪用されていたことを明らかにした。

OAuth のミスコンフィグレーションが原因とのことですが、ここを脅威アクターに突かれると、甚大な被害が発生する可能性があるので、素早く対応されてよかったです。以下の関連ポストを見ると、あらゆる領域で、この種の問題が発生していることが分かります。なお、この記事の参照先となっている、Salt Labs の Traveling with OAuth – Account Takeover on Booking.com は、とても詳細なレポートですが、図が多用されていて分かやすいです。

2023/01/31：OAuth の悪用： Office 365 不正アクセス
2022/09/24：Exchange 乗っ取り：スパムメールを配信
2022/06/14：Travis-CI API からの OAuth トークン流出
2022/05/27：GitHub の OAuth 問題：npm ログイン情報窃取
2022/05/19：Google の OAuth Client Library for Java