App Android [Oops] Marriott a probablement été Leaking données de carte de crédit pendant des années
Rappelez-vous comment les hôtels Marriott voulaient bloquer hotspots WiFi et rendre tout le monde à payer pour l'accès à Internet? Il se trouve Marriott donnant de l'argent pour l'hébergement est peut-être pas une bonne idée en premier lieu. Selon développeur de logiciels Randy Westergren, il a été possible d'accéder à l'information à la clientèle sur les serveurs de Marriott, sans un mot de passe depuis l'application Android a été libéré en 2011.
Le problème est que Android app Marriott n'a pas utilisé toute sorte de données symboliques ou d'autorisation pour accéder à vos réservations. Westergren a créé un script de preuve-de-concept qui a rampé tout simplement les numéros de réservation de départ à un point arbitraire jusqu'à ce qu'il trouve un nombre valide. Il ne lui manquait un nom et le numéro de réservation pour accéder aux comptes des clients sur le site de Marriott, et il pourrait obtenir qu'en raison de l'application. Cette présenté toutes les informations de l'utilisateur, y compris l'adresse, le numéro de téléphone, détails de la réservation, et les quatre derniers chiffres du numéro de carte de crédit. Certes, vous ne pouvez pas aller sur une frénésie de dépenses avec le dernier carré, mais ce sont des données utiles pour le vol d'identité.
Westergren a découvert qu'il pouvait modifier et annuler les réservations qui ne sont pas son propre assez facilement avec cette méthode. Avec les charges de frais d'annulation Marriott, il pourrait aussi bien avoir obtenu l'ensemble numéro de carte de crédit. En toute équité, Marriott a pris la vulnérabilité au sérieux quand il a été révélé par Westergren. Un correctif côté serveur a été déployé le 21 Janvier.
[Forbes, Randy Westergren]