بالنسبة للكثيرين منا ، تعد أميال المسافر الدائم وبطاقات الائتمان ونقاط ولاء الفنادق قيّمة. إن فكرة أن بعض النقاط التي حصلت عليها بشق الأنفس يمكن أن تُفقد أو تُسرق تجعلني أقفز للتحقق من التطبيق لكل برنامج للتأكد من أن الأرصدة تبدو صحيحة. وهناك سبب وجيه للقلق.
اكتشف بعض خبراء الأمن السيبراني بعض الأشياء المقلقة بشكل خطير حول شركة الولاء التجارية Points.com. وجدت النتائج الأخيرة التي توصل إليها باحثو الأمن السيبراني إيان كارول وشوبهام شاه وسام كاري بعض المعلومات المزعجة حول الشركة.
يقدم موقع Points.com واجهة برمجة تطبيقات موسعة لبرامج مكافآت السفر الشهيرة ، بما في ذلك برامج Delta SkyMiles و United milesPlus و Hilton Honors و Marriott Bonvoy.
وفق نتائج الباحث، أفاد الفريق أن بعض الثغرات الأمنية على موقع Points.com بين مارس ومايو 2023 جعلته جذابًا للمتسللين. كان من الممكن أن يتم استغلال هذه الثغرات الأمنية من قبل المتسللين لسرقة نقاط سفر العملاء وبياناتهم وربما السيطرة على برامج الولاء الخاصة بـ Points تمامًا. إليك ما نعرفه حتى الآن وكيف يمكنك حماية نفسك.
هل ستكلفك هذه التكنولوجيا الجديدة وظيفتك؟ هنا دليل
توقف الركاب مؤقتًا للتحقق من معلومات الرحلة في مطار رونالد ريغان واشنطن الوطني في 8 أغسطس 2023 في أرلينغتون ، فيرجينيا. (تشيب سوموديفيلا / جيتي إيماجيس)
ما هي نقاط الضعف التي وجدها فريق البحث؟
من المشكلات الرئيسية التي تم العثور عليها في نظام Points.com القدرة على العثور بسهولة على تفاصيل مثل أرقام حساب مكافآت العملاء والعناوين وأرقام الهواتف وعناوين البريد الإلكتروني وأرقام بطاقات الائتمان الجزئية. واجه الباحثون تلاعبًا في النظام من شأنه أن يسمح لهم بالتنقل من جزء من نظام Points API إلى آخر ، مما يتيح لهم الوصول إلى هذه المعلومات.
كيفية استرداد الملفات المحذوفة وإصلاح البيانات التالفة
تم العثور على بعض مشكلات الثغرات الأمنية في Points.com (CyberGuy.com)
على الرغم من وجود حد لمقدار المعلومات التي يمكن أن يتلقاها الشخص في وقت واحد ، أشار الباحثون إلى أن المتسلل يمكنه بالتأكيد البحث عن معلومات شخص معين وتخزينها دون أي مشاكل. بالإضافة إلى ذلك ، تم العثور على مشكلة أخرى من شأنها أن تسمح للمتسلل بأخذ الاسم الأخير لشخص ما ورقم المكافآت ، مما يسمح له بعد ذلك بالاستيلاء على حسابات العملاء وتحويل الأميال أو نقاط المكافآت الأخرى إلى أنفسهم.
بالنسبة لـ Virgin Red ، وجد الباحثون مفاتيح مصادقة مسربة كان من الممكن أن تسمح للمتسلل بالوصول إلى بيانات Points.com الخاصة بشركة Virgin Atlantic وتعديل الحسابات ، مثل إضافة النقاط أو إزالتها أو تغيير الإعدادات الأخرى.
بالنسبة إلى United milesPlus ، وجد الباحثون ثغرة أمنية في موقع الإدارة العالمي لـ Points.com ، حيث تم تشفير ملف تعريف ارتباط مشفر مخصص لكل مستخدم بسر يسهل تخمينه – كلمة “سر” نفسها. كان من الممكن أن يسمح هذا للمهاجم بتنفيذ تعليمات برمجية ضارة على الموقع وربما يعرض نظام النقاط بالكامل للخطر.
ومنذ ذلك الحين ، قام موقع Points.com بإصلاح هذه الثغرات الأمنية المتعلقة بشركتي Virgin Red و United milesPlus.
المزيد: كيف تتجنب إيجارات الإجازات
ما هي أكبر مشكلة وجدت؟
ربما كانت المشكلة الأكبر التي تم العثور عليها ، مع ذلك ، هي تلك التي من شأنها أن تسمح للقراصنة بالوصول إلى أي نظام نقاط يريدونه بسبب الثغرة الموجودة في نظام إدارة Points.com العالمي.
وجد الباحثون أنه يتم تعيين ملف تعريف ارتباط مشفر لكل مستخدم. عادةً ما تكون هذه طبقة أمان إضافية لطيفة.
ومع ذلك ، تم تشفير ملفات تعريف الارتباط المشفرة بكلمة “سر” ، والتي يمكن لفريق البحث تخمينها بسهولة. وإذا كان بإمكانهم تخمين ذلك ، فمن المؤكد أن القراصنة يستطيع ذلك.
قم بإعداد جهاز تتبع البلوتوث غير المرغوب فيه من CRAB باستخدام ميزة الأمان الجديدة من GOOGLE
مشكلة كبيرة لـ Points.com هي أن أي متسلل يمكنه الدخول إلى أي نظام نقاط. (CyberGuy.com)
بمجرد فك تشفير ملفات تعريف الارتباط الخاصة بهم ، تمكنوا من منح أنفسهم الأذونات التي يمكن أن يمتلكها المسؤول العالمي ، ثم إعادة تشفير ملف تعريف الارتباط الخاص بهم بشيء أكثر تعقيدًا بحيث لا يمكن لأي شخص فك تشفيره مرة أخرى.
إذا قام المتسلل بتنفيذ نفس العملية ، فسيكون قادرًا على الوصول إلى أي نظام مكافآت بالنقاط وتوفير أميال غير محدودة أو مزايا أخرى لأي حساب يريده.
المزيد: 10 طرق للسفر مثل الملف الشخصي لرحلة خالية من القلق
ما الذي يمكنني فعله لحماية نقاطي؟
وفقًا للباحثين ، قام موقع Points.com بإصلاح جميع نقاط الضعف التي أبلغوا عنها ولا يوجد دليل على أن أي جهات ضارة قد استغلتها من قبل. ومع ذلك ، فإنهم يحذرون من أنها قد تكون أخطاء أخرى غير معروفة في النظام والتي يمكن أن تشكل خطرًا على العملاء وبرامج الولاء. ومع ذلك ، إليك بعض الأشياء التي يمكنك القيام بها لتكون استباقيًا بشأن حسابات المكافآت الخاصة بك.
- راقب حساباتك: راقب حسابات المكافآت الخاصة بك لأي نشاط غير عادي لمعرفة ما إذا تم إجراء أي تغييرات مهمة ، مثل خصم كبير في نقاطك أو مكافآتك.
- الإبلاغ عن أي معاملات أو تغييرات مشبوهة: إذا لاحظت تغييرات تعلم أنك لم تقم بإجرائها على حساب الولاء الخاص بك ، فاتصل ببرنامج المكافآت الخاص بك ، وأبلغ عن أي معاملات أو تغييرات مشبوهة ، واطلع على ما يمكنهم فعله لمساعدتك.
- قم بتغيير كلمات المرور الخاصة بك: تحديث كلمات المرور لجميع حسابات المكافآت. اجعلها معقدة وفريدة من نوعها. فكر في استخدام مدير كلمات المرور لمساعدتك. تحقق من أفضل مديري كلمات المرور التي تمت مراجعتها من قبل الخبراء لعام 2023 من خلال الانتقال إلى Cyberguy.com/Passwords
- قم بتمكين المصادقة الثنائية (2FA): إنها طبقة أمان إضافية تمنع المتسللين من الوصول إلى حساباتك حتى لو قاموا باختراق كلمة المرور الخاصة بك.
لقد تواصلنا مع Points.com ، التي تم الاستحواذ عليها بواسطة درجة زائدفي عام 2022 ، للتعليق على هذه القصة ، لكننا لم نتلق ردًا بحلول الموعد النهائي.
المزيد: أداة السفر عبر الإنترنت الجديدة تجعل من السهل استخدام النقاط بدلاً من الدفع مقابل الإقامة في الفندق
هناك العديد من الطرق لحماية نفسك من المتسللين مثل تغيير كلمات المرور الخاصة بك. (CyberGuy.com)
الوجبات السريعة الرئيسية لكورت
آخر شيء تريده هو أن يتم أخذ جميع النقاط التي حصلت عليها بشق الأنفس والتي كنت تدخرها من أجل إجازة أحلامك هذه بسبب أحد المتطفلين. تأكد من التحقق دائمًا من حساباتك والانتباه إلى أي إخطارات قد تتلقاها من برنامج المكافآت المخصص لك حول خرق كبير لمعلوماتك.
ما رأيك في هذا الفريق من الباحثين الذين اكتشفوا نقاط الضعف في نظام Points.com؟ هل يجب فحص الشركات بانتظام بحثًا عن مشكلات أمنية؟ أخبرنا عن طريق الكتابة إلينا على Cyberguy.com/Contact
انقر هنا للحصول على تطبيق FOX NEWS
لمزيد من تنبيهات الأمان الخاصة بي ، اشترك في النشرة الإخبارية المجانية لتقرير CyberGuy بالذهاب إلى Cyberguy.com/Newsletter
حقوق النشر 2023 CyberGuy.com. كل الحقوق محفوظة.