Für viele von uns sind Vielfliegermeilen sowie Kreditkarten- und Hotel-Treuepunkte wertvoll. Der Gedanke, dass einige meiner hart verdienten Punkte verloren gehen oder gestohlen werden könnten, veranlasst mich dazu, die App jedes Programms zu überprüfen, um sicherzustellen, dass die Guthaben korrekt sind. Und es gibt gute Gründe, sich Sorgen zu machen.
KLICKEN SIE, UM KURTS KOSTENLOSEN CYBERGUY-NEWSLETTER MIT SICHERHEITSWARNUNGEN, SCHNELLTIPPS, TECHNOLOGIEN UND EINFACHEN ANLEITUNGEN ZU ERHALTEN, DIE SIE SMARTER MACHEN
Einige Cybersicherheitsexperten haben ernsthaft besorgniserregende Informationen über das Treue-Commerce-Unternehmen Points.com ausgegraben. Aktuelle Erkenntnisse der Cybersicherheitsforscher Ian Carroll, Shubham Shah und Sam Curry haben einige beunruhigende Informationen über das Unternehmen ergeben.
Points.com bietet eine umfangreiche Anwendungsprogrammierschnittstelle für beliebte Reiseprämienprogramme, darunter die Programme Delta SkyMiles, United MileagePlus, Hilton Honors und Marriott Bonvoy.
Den Erkenntnissen des Forschers zufolge berichtete das Team, dass bestimmte Schwachstellen von Points.com zwischen März und Mai 2023 es für Hacker attraktiv machten. Diese Schwachstellen könnten von Hackern ausgenutzt worden sein, um die Reisepunkte und Daten der Kunden zu stehlen und möglicherweise die Kontrolle über die Points-Treueprogramme insgesamt zu erlangen. Hier erfahren Sie, was wir bisher wissen und wie Sie sich schützen können.
KOSTET DIESE NEUE TECHNOLOGIE IHREN JOB? HIER IST DER BEWEIS
Passagiere halten am 8. August 2023 in Arlington, Virginia, inne, um die Fluginformationsanzeigen am Ronald Reagan Washington National Airport zu überprüfen. (Chip Somodevilla/Getty Images)
Welche Schwachstellen hat das Forschungsteam gefunden?
Ein Hauptproblem, das im Points.com-System festgestellt wurde, bestand darin, dass Details wie Kundenprämienkontonummern, Adressen, Telefonnummern, E-Mail-Adressen und unvollständige Kreditkartennummern problemlos gefunden werden konnten. Die Forscher stießen auf eine Manipulation im System, die es ihnen ermöglichte, von einem Teil des Points-API-Systems zu einem anderen zu wechseln und so Zugriff auf diese Informationen zu erhalten.
SO WIEDERHERSTELLEN SIE GELÖSCHTE DATEIEN UND REPARIEREN BESCHÄDIGTE DATEN
Bei Points.com wurden einige Schwachstellen gefunden (CyberGuy.com)
Obwohl es eine Grenze dafür gab, wie viele Informationen eine Person gleichzeitig erhalten konnte, wiesen die Forscher darauf hin, dass ein Hacker die Informationen einer bestimmten Person durchaus nachschlagen und problemlos behalten könnte. Darüber hinaus wurde ein weiteres Problem festgestellt, das es einem Hacker ermöglichte, den Nachnamen und die Prämiennummer einer Person zu stehlen, wodurch diese dann Kundenkonten übernehmen und Meilen oder andere Prämienpunkte auf sich selbst übertragen konnte.
Bei Virgin Red fanden die Forscher geleakte Authentifizierungsschlüssel, die es einem Angreifer hätten ermöglichen können, auf die Points.com-Daten für Virgin Atlantic zuzugreifen und Konten zu ändern, etwa Punkte hinzuzufügen oder zu entfernen oder andere Einstellungen zu ändern.
Für United MileagePlus fanden die Forscher eine Schwachstelle auf der globalen Verwaltungswebsite von Points.com, bei der ein jedem Benutzer zugewiesenes verschlüsseltes Cookie mit einem leicht zu erratenden Geheimnis verschlüsselt war – dem Wort „Geheimnis“ selbst. Dies hätte es einem Angreifer ermöglichen können, Schadcode auf der Website auszuführen und möglicherweise die gesamte Points-Plattform zu gefährden.
Points.com hat inzwischen die Schwachstellen im Zusammenhang mit Virgin Red und United MileagePlus behoben.
MEHR: SO VERMEIDEN SIE BETRUG BEI FERIENVERMIETUNG
Was war das größte Problem, das gefunden wurde?
Das vielleicht größte Problem, das gefunden wurde, war jedoch eines, das es Hackern aufgrund einer Schwachstelle im globalen Verwaltungssystem von Points.com ermöglichen würde, in jedes gewünschte Punktesystem einzudringen.
Die Forscher fanden heraus, dass jedem Benutzer ein verschlüsseltes Cookie zugewiesen wird. Normalerweise wäre dies eine gute zusätzliche Sicherheitsebene.
Allerdings waren diese verschlüsselten Cookies mit dem Wort „geheim“ verschlüsselt, was das Forschungsteam leicht erraten konnte. Und wenn sie es erraten können, dann kann es ein Hacker sicherlich auch.
ERKENNEN SIE DEN UNERWÜNSCHTEN BLUETOOTH-TRACKER EINES CREEPS MIT DER NEUEN SICHERHEITSFUNKTION VON GOOGLE
Ein großes Problem für Points.com ist, dass jeder Hacker in jedes Punktesystem eindringen kann. (CyberGuy.com)
Nachdem sie ihr Cookie entschlüsselt hatten, konnten sie sich selbst die Berechtigungen eines globalen Administrators neu zuweisen und ihr Cookie dann mit etwas Komplizierterem neu verschlüsseln, sodass niemand es erneut entschlüsseln konnte.
Wenn ein Hacker denselben Vorgang durchführen würde, könnte er auf jedes Punkteprämiensystem zugreifen und jedem gewünschten Konto unbegrenzte Meilen oder andere Vorteile gewähren.
MEHR: 10 MÖGLICHKEITEN, WIE EIN PROFIS FÜR EINE SORGENFREIE REISE ZU REISEN
Was kann ich tun, um meine Punkte zu schützen?
Den Forschern zufolge hat Points.com alle von ihnen gemeldeten Schwachstellen behoben und es gibt keine Hinweise darauf, dass sie zuvor von böswilligen Akteuren ausgenutzt wurden. Sie warnen jedoch davor, dass es sich möglicherweise um weitere unbekannte Fehler im System handelt, die ein Risiko für Kunden und Treueprogramme darstellen könnten. Vor diesem Hintergrund finden Sie hier einige Dinge, die Sie tun können, um proaktiv mit Ihren Prämienkonten umzugehen.
- Überwachen Sie Ihre Konten: Behalten Sie Ihre Prämienkonten im Auge und achten Sie auf ungewöhnliche Aktivitäten, um zu sehen, ob wesentliche Änderungen vorgenommen wurden, wie z. B. ein großer Abzug Ihrer Punkte oder Prämien.
- Melden Sie verdächtige Transaktionen oder Änderungen: Wenn Sie Änderungen bemerken, von denen Sie wissen, dass Sie sie nicht an Ihrem Treuekonto vorgenommen haben, wenden Sie sich an Ihr Prämienprogramm, melden Sie verdächtige Transaktionen oder Änderungen und sehen Sie, was sie tun können, um Ihnen zu helfen.
- Ändern Sie Ihre Passwörter: Passwörter für alle Prämienkonten aktualisieren. Machen Sie sie komplex und einzigartig. Denken Sie darüber nach, einen Passwort-Manager zu verwenden, der Ihnen dabei hilft. Schauen Sie sich meine besten, von Experten bewerteten Passwort-Manager des Jahres 2023 an, indem Sie zu Cyberguy.com/Passwords gehen
- Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA): Es handelt sich um eine zusätzliche Sicherheitsebene, die Hacker daran hindert, auf Ihre Konten zuzugreifen, selbst wenn sie Ihr Passwort knacken.
Wir haben Points.com, das 2022 von Plusgrade übernommen wurde, um einen Kommentar zu dieser Geschichte gebeten, aber vor Ablauf unserer Frist keine Antwort erhalten.
MEHR: NEUES ONLINE-REISE-TOOL MACHT ES EINFACHER, PUNKTE ZU VERWENDEN, STATT FÜR HOTELAUFENTHALTE ZU BEZAHLEN
Es gibt viele Möglichkeiten, sich vor Hackern zu schützen, beispielsweise das Ändern Ihrer Passwörter. (CyberGuy.com)
Kurts wichtigste Erkenntnisse
Das Letzte, was Sie wollen, ist, dass Ihnen ein Hacker all Ihre hart verdienten Punkte, die Sie für Ihren Traumurlaub gespart haben, wegnimmt. Stellen Sie sicher, dass Sie Ihre Konten stets überprüfen und achten Sie auf alle Benachrichtigungen, die Sie möglicherweise von Ihrem zugewiesenen Prämienprogramm über schwerwiegende Verstöße gegen Ihre Daten erhalten.
Was halten Sie davon, dass dieses Forscherteam Schwachstellen im Points.com-System findet? Müssen Unternehmen regelmäßig auf Sicherheitsprobleme überprüft werden? Lassen Sie es uns wissen, indem Sie uns schreiben an Cyberguy.com/Kontakt
KLICKEN SIE HIER, UM DIE FOX NEWS-APP ZU ERHALTEN
Für weitere meiner Sicherheitswarnungen abonnieren Sie meinen kostenlosen CyberGuy Report-Newsletter unter Cyberguy.com/Newsletter
Copyright 2023 CyberGuy.com. Alle Rechte vorbehalten.