חברת הסייבר Salt Security חשפה ליקויי אבטחה בממשק ה-API של Booking.com, אשר יצר אפשרות לתוקפים להשתלט על חשבונות של משתמשים, לקבל נתונים אישיים, לבטל או לבצע הזמנות ולבצע פעולות אחרות בשמם. הפירצה כללה גם את משתמשי אתר ההזמנות הפופולרי Kayak.com, המשתייך אף הוא לקבוצת בוקינג וההרשמה אליו מתבצעת באמצעות מנגנון האישורים של הקבוצה, כך שהיא סיכנה מיליוני אנשים בעולם. החברה פנתה לאנשי האבטחה של בוקינג, עדכנה אותם על הפרצות ועל הדרכים לטפל בהן והליקויים תוקנו, בטרם התקבל מידע על ניצול של פרצות אלו לרעה.
הפרצה נוצרה דרך היישום OAuth הנמצא בשימוש על ידי בוקינג לצורך התחברות של משתמשים באמצעות חשבון הפייסבוק שלהם. הפרצה שנוצרה יצרה אפשרות להאקרים לבצע שינויים בפרטים של משתמשי הפלטפורמה כדי להשיג שליטה מלאה בחשבונות שלהם, כולל מידע אישי, נתונים רגישים על פעולות ופרופיל המשתמשים שמאוחסנים בחברה באופן פנימי, להזמין חדרי מלון, לבטל הזמנות וכן שרותים נוספים שבוקינג מציעה כמו למשל הזמנת אמצעי תחבורה.
חולשות האבטחה התגלו ונותחו על ידי Salt Labs, זרוע המחקר של סולט סקיוריטי. היישום של פרוטוקול OAuth פופולרי באתרים לצורך זיהוי וחיבור של משתמשים לקוחות באמצעות חשבונות המדיה החברתית שלהם, בלחיצה אחת, במקום באמצעות רישום משתמש מסורתי הכרוך בתהליך מורכב יותר של אימות שם משתמש וסיסמה.
לדברי יניב בלמס, סמנכ"ל המחקר של סולט סקיוריטי שהוביל את תהליך הזיהוי והתיקון של הליקויים, OAuth הפך במהרה לסטנדרט בתעשייה, מאחר והוא מספק למשתמשים חוויה קלה ונעימה באינטרקציה עם אתרים ונמצא כיום בשימוש על ידי מאות אלפי שירותים ברחבי העולם. כתוצאה מכך, לתצורות שגויות של OAuth יכולה להיות השפעה משמעותית הן על חברות והן על לקוחות, שכן הם משאירים נתונים מהותיים חשופים לתוקפים. כתןוצאה מההתרחבות המהירה של התחום, ארגונים רבים נותרים לא מודעים לאינספור סיכוני אבטחה שקיימים בפלטפורמות שלהם."
סולט סקיוריטי הוקמה בשנת 2016 על ידי רועי אליהו (מנכ"ל) ומייקל ניקוסיה (מנהל תפעול ראשי) וגייסה מאז הקמתה מעל 271 מיליון דולר, בשווי שהגיע ל-1.4 מיליארד דולר. החברה היא חלוצת תחום ה- API security, תחום המתמקד באבטחת ממשקי API דרכם עוברת רוב תעבורת האינטרנט העולמית ומתבצע חיבור בין אפליקציות ושירותים דיגיטליים. למרות היקף המידע שעובר דרכם ורגישותו, ארגונים עובדים עם ממשקים פריצים ברובם. לכן תוקפים הפנו את התמקדותם לממשקים אלו, המאפשרים גישה לנתונים ושירותים קריטיים. החברה פיתחה פלטפורמה לאבטחת API מוגנת בפטנט, אשר מבוססת בינה מלאכותית וביג דאטה, העוזרת לארגונים לזהות חולשות אבטחה ב- APIs עוד בתהליך for הפיתוח, מאתרת באופן אוטומטי את כל ממשקי ה- APIs בארגון, מזהה תקיפות בזמן אמת וחוסמת תוקפים לפני שנגרם נזק. פריסת הפלטפורמה בארגונים מתבצעת תוך מספר דקות, באופן אוטומטי, ללא כל צורך בהתאמה אישית מצד הלקוח.
מ-Booking.com נמסר בתגובה: "עם קבלת הדוח מ-Salt Security הצוותים שלנו חקרו מיד את הממצאים, ופתרו במהירות את הפגיעות מבלי שהיא תהווה חשיפה לפלטפורמה של Booking.com בשום אופן. אנו מתייחסים ברצינות רבה להגנה על נתוני לקוחות. לצד העובדה כי אנו מטפלים בכל הנתונים האישיים בהתאם לסטנדרטים הבינלאומיים הגבוהים ביותר, אנו גם מחדשים ללא הרף את התהליכים והמערכות שלנו כדי להבטיח אבטחה מיטבית בפלטפורמה שלנו, תוך ביצועי הערכה מחודשת שלהן ושיפור אמצעי האבטחה הנוקשים שכבר יש ברשותנו. כחלק מכך, אנו מבצעים שיתופי פעולה עם קהילת האבטחה העולמית, שמקדמים גם את תכנית Bug Bounty שלנו".