Ce site a bien failli offrir des vols et hôtels de luxe gratuits à vie aux pirates
En examinant la plate-forme Points.com, qui gère les programmes de fidélité de plusieurs compagnies aériennes et hôtels de luxe, des chercheurs en cybersécurité ont découvert des failles qui auraient permis de profiter de billets d'avion et de nuits d'hôtels gratuitement.
Qui a dit que le piratage servait uniquement à infiltrer des gouvernements ? Ou à récupérer illégalement des livres électroniques et des jeux vidéo ? Les hackers ont peut-être juste envie de voyager et séjourner dans des hôtels confortables après tout. Sauf qu'ils ont manqué l'occasion. Des chercheurs en cybersécurité, Ian Carroll, Shubham Shah, et Sam Curry, ont découvert des failles de sécurité importantes permettant de détourner les programmes de fidélité des compagnies aériennes et des hôtels.
On parle des fameux “miles”, ces points qu'on accumule au fil de nos trajets en avion et qui se transforment au bout d'un moment en billet gratuit. Même chose pour les nuits d'hôtels. Pour Sam Curry, la surprise venait “du fait qu'il y ait une entité centrale pour les programmes de fidélité, que presque toutes les grandes marques du monde utilisent”. En effet, la plate-forme Points.com gère le système fidélité de nombreuses compagnies aériennes et groupes hôteliers : Air France, KLM, Emirates, Hilton, Lufthansa… La liste est longue.
Des pirates auraient pu profiter de voyages en avion et de nuits d'hôtels gratuitement
En fouillant la structure de la plate-forme, les chercheurs ont découvert une vulnérabilité permettant à un hacker de récupérer toutes les données d'un compte client (identité, mails, adresse…). En exploitant un autre bug, le pirate pouvait créer un jeton d'identification avec juste le nom de famille et le nombre de points fidélité, accéder au compte et siphonner ses points. Pire : l'équipe a remarqué que Points.com attribuait à chaque utilisateur un cookie chiffré (ce qui est normal), mais que la clé pour le déchiffrer était le mot… “secret”. On a vu pire comme mot de passe, mais on a vu mieux.
Alertée, l'entreprise gérant le site Web a rapidement corrigé l'ensemble des failles relevées. Après examen, elle affirme également qu'elles n'ont pas été exploitées. Leur correction a été vérifiée et validée par les chercheurs eux-même et d'autres experts en cybersécurité. Pas d'inquiétude à avoir si vous profitez du programme de fidélité, vos points sont protégés.
-
L’Europe veut espionner toutes vos conversations en ligne à la recherche de contenus illégauxLa proposition controversée des législateurs de l’Union européenne d’obliger légalement les platesformes de messagerie à analyser les communications privées à la recherche de matériel pédopornographique (CSAM) fait face à une nouvelle vague de réactions négatives de la part des experts…
-
Microsoft vous permet enfin de vous connecter sans mot de passe sur PC et smartphone
Dire adieu aux mots de passe devrait bientôt devenir une réalité pour les détenteurs de comptes Microsoft. Le géant de la technologie a annoncé qu’il mettait en place la prise en charge des passkeys pour l’ensemble de ses comptes et…
-
Vous utilisez de plus en plus les Passkeys de Google, mais ils sont loin d’égaler le bon vieux mot de passe
Google a célébré la Journée mondiale du mot de passe en mettant en avant les passkeys, une alternative prometteuse aux mots de passe traditionnels. Plus de 400 millions de comptes ont déjà adopté cette technologie qui promet une authentification plus…
-
Amazon : attention à ce courrier qui propose de vous payer pour tester des produits, c’est une arnaque
Ces dernières semaines, de nombreux Français ont reçu un curieux courrier de la part d’Amazon à leur domicile. Du moins, c’est ce que celui-ci prétend, en offrant aux destinataires la possibilité de tester des produits en échange d’une rémunération. La…
-
Ce pirate écope d’une lourde peine de prison et d’une amende colossale après avoir extorqué des milliers de victimes
Aux États-Unis, l’un des pirates à l’origine du ransomware REvil vient d’écoper d’une peine de prison et d’une amende importantes. Le groupe a fait parler de lui en 2021 en étant notamment à l’origine de la plus grande cyberattaque de…
-
Tinder, Bumble : attention à ces faux liens de vérification de profil, c’est une arnaque
Le FBI alerte les utilisateurs des applications de rencontres comme Tinder et Bumble sur une nouvelle escroquerie de vérification. Les pirates, derrière, de faux profils, demandent à leurs victimes des vérifications d’identité qui mènent ensuite au vol de leurs informations…
-
Piratage : si l’IPTV est de plus en plus populaire, c’est surtout grâce à ce type de contenus
Depuis sa création en 2021, l’Arcom joue un rôle essentiel dans la lutte contre le piratage en France. Cette organisation se félicite de la baisse importante de l’accès illégal à des contenus culturels et sportifs. Malgré ces avancées, l’émergence de…
-
Cette cyberattaque par ransomware coûtera plus d’un milliard de dollars au secteur de la santé
L’attaque massive par ransomware contre Change Healthcare, la filiale du groupe UnitedHealth spécialisée dans les données médicales, s’avère finalement être un incident extraordinairement coûteux pour le géant de la santé. Dans son dernier rapport trimestriel sur les résultats, UnitedHealth a…
-
Avis aux fans de Jul, ne tombez pas dans le piège des faux billets !
Après les fans de Taylor Swift, les pirates cherchent maintenant à arnaquer les utilisateurs qui cherchent désespérément une place pour les concerts à guichets fermés de Jul au Stade de France et au Vélodrome à Marseille. Gare à ces faux…
-
Windows Defender : les pirates peuvent prendre le contrôle de votre antivirus et supprimer toutes vos données
Une vulnérabilité dans Windows Defender et les antivirus de Kaspersky pourrait entraîner la suppression erronée de fichiers vitaux pour les bases de données. Révélée lors de la conférence Black Hat Asia, un forum international sur la sécurité informatique, cette faille…
