Μαθεύτηκε πρόσφατα πως τα Airbnb accounts είναι ευάλωτα σε hijacking. Οι επιτιθέμενοι μπορούν να παραβιάσουν εύκολα τα accounts, δημιουργώντας έναν νέο λογαριασμό στην υπηρεσία ενοικίασης σπιτιών και δίνοντας έναν αριθμό τηλεφώνου που στο παρελθόν ανήκε σε άλλο πελάτη της Airbnb.
Ο κίνδυνος που προκύπτει από αριθμούς τηλεφώνου που χρησιμοποιούνται ξανά από άλλους χρήστες, είναι γνωστός εδώ και χρόνια. Πολλές μεγάλες εταιρείες έχουν αντιμετωπίσει προβλήματα που σχετίζονται με αυτόν τον τρόπο επίθεσης. Μια από αυτές τις εταιρείες φαίνεται να είναι και η Airbnb, αλλά η εταιρεία αναφέρει ότι έχει επηρεαστεί μόνο ένας μικρός αριθμός χρηστών.
Το περιστατικό μαθεύτηκε όταν μια γυναίκα με το όνομα Maya ανέφερε στο SecurityWeek ότι ο σύζυγός της προσπαθούσε να δημιουργήσει ένα Airbnb account και συνδέθηκε κατά λάθος στον λογαριασμό ενός άλλου χρήστη.
Μόλις εισήγαγε τον αριθμό τηλεφώνου του (βήμα κατά την εγγραφή λογαριασμού), ο άνθρωπος έλαβε έναν τετραψήφιο κωδικό μέσω SMS. Όταν ο χρήστης έβαλε τον κωδικό, συνδέθηκε στο λογαριασμό ενός άλλου χρήστη, που ήταν ο προηγούμενος κάτοχος του αριθμού τηλεφώνου.
Ο λογαριασμός ανήκε σε μια γυναίκα από τη Βόρεια Καρολίνα και περιείχε πολλές προσωπικές πληροφορίες, όπως φωτογραφία, διεύθυνση email, αριθμό τηλεφώνου κλπ. Ο λογαριασμός είχε ακόμα μια έγκυρη κάρτα πληρωμής, το οποίο σημαίνει ότι αυτή η γυναίκα θα μπορούσε ακόμα να κάνει μια κράτηση στην Airbnb, χρησιμοποιώντας αυτή την κάρτα.
Η Maya επιβεβαίωσε το ζήτημα κάνοντας δοκιμές με αριθμούς τηλεφώνου φίλων της (με τη συγκατάθεσή τους). Ωστόσο, το ανησυχητικό είναι ότι η Airbnb δεν ενημέρωσε τον νέο κάτοχο του αριθμού τηλεφώνου ότι ο αριθμός που χρησιμοποιούσε για να εγγραφεί σε έναν λογαριασμό έχει ήδη χρησιμοποιηθεί. Επίσης, δεν ειδοποίησε τον νόμιμο κάτοχο του λογαριασμού για πιθανώς ύποπτη σύνδεση.
Η Airbnb τρέχει ένα bug bounty πρόγραμμα στο HackerOne για την εύρεση κενών ασφαλείας και ισχυρίζεται ότι έχει δώσει περισσότερα από 1 εκατομμύριο δολάρια σε ερευνητές.
Η Maya δεν γνώριζε για το bug bounty πρόγραμμα της Airbnb και προσπάθησε να αναφέρει τα ευρήματά της σχετικά με τα accounts και τους αριθμούς τηλεφώνου, μέσω του καναλιού υποστήριξης της εταιρείας. Λέει ακόμα ότι προσπάθησε αρκετά να πείσει την Airbnb για τη σοβαρότητα του συγκεκριμένου ζητήματος, αλλά το πρόβλημα δεν έχει διευθετηθεί. Ο τελευταίος της έλεγχος έγινε στις 22 Σεπτεμβρίου.
Το προσωπικό υποστήριξης της Airbnb είπε στη Maya να δημιουργήσει λογαριασμό χρησιμοποιώντας διαφορετικό αριθμό τηλεφώνου και τόνισε ότι οι λογαριασμοί των χρηστών είναι ασφαλείς και μόνο οι νόμιμοι κάτοχοι μπορούν να έχουν πρόσβαση. Ωστόσο, αυτό δεν ισχύει αφού οι αριθμοί τηλεφώνου που έχουν “αλλάξει χέρια” μπορούν να χρησιμοποιηθούν για την απόκτηση πρόσβασης στους λογαριασμούς των προηγούμενων κατόχων.
“Η υποστήριξη της Airbnb μας έλεγε συνεχώς το ίδιο πράγμα: χρησιμοποιήστε έναν διαφορετικό αριθμό τηλεφώνου. Δεν συνειδητοποιούσε το ζήτημα ασφάλειας που θέσαμε (παρόλο που ήμαστε ξεκάθαροι μαζί της). Μετά από όλα, συνδεθήκαμε τυχαία σε λογαριασμό άλλου χρήστη και μου φαίνεται ότι δεν το βρίσκουν τόσο ανησυχητικό όσο εμείς“, εξήγησε η Maya.
Η Airbnb πρέπει να φροντίσει για την ασφαλή σύνδεση και να ενημερώνει τους χρήστες για ύποπτες συνδέσεις στα accounts τους.
Η εταιρεία ισχυρίστηκε ότι έλαβε μέτρα για την επίλυση του προβλήματος, αλλά δεν έχει δώσει λεπτομέρειες για τις ενέργειές της.
“Έχουμε αναπτύξει μια λύση για το αναφερόμενο πρόβλημα που αφορά αριθμούς τηλεφώνου που χρησιμοποιούνται ξανά, και ευτυχώς έχει επηρεαστεί μόνο ένας πολύ μικρός αριθμός χρηστών μας. Αξιολογούμε συνεχώς και βελτιώνουμε τις προστασίες μας και δεσμευόμαστε να ενισχύσουμε τους ελέγχους ασφαλείας της πλατφόρμας μας“, δήλωσε εκπρόσωπος της Airbnb στο SecurityWeek.
Το προσωπικό υποστήριξης της Airbnb πρέπει να είναι σε θέση να διευθετήσει τέτοια θέματα. Πολλές φορές, τα ζητήματα ασφαλείας δεν αναφέρονται σε επίσημα bug bounty προγράμματα αλλά αναφέρονται από απλούς χρήστες. Αυτές οι αναφορές πρέπει να λαμβάνονται σοβαρά υπόψη από τις εταιρείες.