互聯網安全專家表示,希爾頓忠誠度項目(Hilton HHonors)的網站系統較脆弱,用戶的個人信息可能面臨危險。而希爾頓方面表示,系統缺陷已經修復。
數字安全專家Brian Krebs表示,『安全諮詢和測試公司Bancsec的技術安全顧問和創始人Brandon Potter和JB Snyder發現了系統的問題。他們發現,如果登錄Hilton Honors的賬戶後,如果得知其他賬戶的賬戶名,就可以進入任一賬戶。只要改變網站很少一部分的HTML內容,重新加載瀏覽器就可以做到。』
網站潛在的危險,在於用戶登錄一次後,自動享有所有其他網站的登錄權限,為跨站點請求偽造攻擊(CSRF)提供了便利之門。黑客可以從用戶信賴的網站獲得非授權的請求,欺騙網站,進入他人賬戶。
希爾頓沒有表明該方法是否被用來獲取個人信息。但是去年11月,曾高密度的集中發生過攻擊酒店忠誠度項目賬戶的行為,希爾頓的HHonors也包括在內。
希爾頓方面要求HHnonors項目的會員更改密碼。但是對於這種技術而言,密碼幾乎是不需要的。
安全軟件公司Tripwire的安全分析師Ken Westin表示,『行業標准的數據安全評測名為PCI DSS,並不適用於忠誠度項目,盡管這些積分可以用來兌換物品和服務。如果不對這些忠誠度項目進行一定程度的保護,航空公司和酒店有可能損害品牌名譽,失去這些忠誠的客戶。』
|