Berita Internet (IT) N3, yang memberikan informasi terbaru kepada users N3 tentang IT pada khususnya dan lainnya pada umumnya. Situs Hilton Honors Penuh Vulnerability
Dua orang praktisi keamanan dari konsultan Bancsec yaitu Brandon Potter & JB Snyder mengatakan bahwa situs Hilton Honors yg merupakan fitur dari jaringan Hotel Hilton penuh dengan vulnerability (kerentanan). Mereka mengatakan hal tersebut pasca Potter & Snyder mencoba masuk ke situs Hilton Honors. Awalnya, mereka berdua masuk situs tersebut dengan cara yg sah. Snyder & Potter menggunakan password untuk mencek status akun mereka. Setelah mereka masuk situs tersebut, percobaan pun dimulai. Setelah serangkaian percobaan, mereka berhasil masuk ke akun Hilton Honors yg lain. Alhasil, sejumlah akun berhasil diretas & diganti password-nya.
Setelah vulnerability itu ditemukan, Potter & Snyder pun langsung mengontak tim yg mengelola Hilton Honors. Pihak hotel pun responsif dengan laporan tersebut. Hotel Hilton pun akan memberikan hadiah berupa 1.000 poin untuk pengguna Hilton Honors yg mau sesegera mungkin mengganti password mereka. Snyder & Potter menuturkan bahwa dengan a&ya vulnerability tersebut, penyerang dapat dengan mudah mengganti informasi rahasia pengguna dengan menerka sembilan nomor digit dari akun para pengguna Hilton Honors.
Laporan lainnya yg dipaparkan oleh Potter & Snyder pun menjelaskan bahwa setelah penyerang mampu menerka sembilan digit nomor akun, mereka dapat mengambil alih data rahasia, informasi akun, menukarkan poin dari Hilton Honors untuk digunakan sebagai pra bayar di kartu kredit & transfer poin pada sesama pengguna akun tersebut. Vulnerability ini pun memungkinkan penyerang untuk melihat alamat pos-el, alamat asli & empat nomor data kartu kredit. Brian Krebs dalam KrebsonSecurity menyatakan bahwa ia sudah dihubungi oleh Potter & Snyder terkait vulnerability tersebut. Berdasarkan keterangan yg diperoleh dari Krebs, pihak Hilton sudah memperbaiki vulnerability dari situs Hilton Honors.
Pihak Hilton sudah menyadari vulnerability ini & telah memperbaikinya, tegas keterangan dari pihak hotel. Hotel Hilton sudah memberikan early warning pada pihak pengguna akun untuk segera mengganti password mereka, sambung mereka dalam siaran persnya. Snyder dalam tulisannya menyatakan bahwa situs Hotel Hilton terindikasi memiliki kerentanan cross-site request forgery (CSRF). Serangan ini terjadi ketika situs jahat, blog, orpun pesan singkat melakukan tindakan yg tidak diinginkan pada situs yg sah. Vulnerability CSRF ini berbahaya karena Hilton Honors tidak perlu memasukan kembali password setelah mereka mendaftar di situs tersebut.
Comments
comments
N3 tidak bisa memberikan klarifikasi berita diatas adalah benar 100% karena kontenSitus Hilton Honors Penuh Vulnerability diatas dikutip dari Internet secara gamblang.
Sumber
Dua orang praktisi keamanan dari konsultan Bancsec yaitu Brandon Potter & JB Snyder mengatakan bahwa situs Hilton Honors yg merupakan fitur dari jaringan Hotel Hilton penuh dengan vulnerability (kerentanan). Mereka mengatakan hal tersebut pasca Potter & Snyder mencoba masuk ke situs Hilton Honors. Awalnya, mereka berdua masuk situs tersebut dengan cara yg sah. Snyder & Potter menggunakan password untuk mencek status akun mereka. Setelah mereka masuk situs tersebut, percobaan pun dimulai. Setelah serangkaian percobaan, mereka berhasil masuk ke akun Hilton Honors yg lain. Alhasil, sejumlah akun berhasil diretas & diganti password-nya.
Setelah vulnerability itu ditemukan, Potter & Snyder pun langsung mengontak tim yg mengelola Hilton Honors. Pihak hotel pun responsif dengan laporan tersebut. Hotel Hilton pun akan memberikan hadiah berupa 1.000 poin untuk pengguna Hilton Honors yg mau sesegera mungkin mengganti password mereka. Snyder & Potter menuturkan bahwa dengan a&ya vulnerability tersebut, penyerang dapat dengan mudah mengganti informasi rahasia pengguna dengan menerka sembilan nomor digit dari akun para pengguna Hilton Honors.
Laporan lainnya yg dipaparkan oleh Potter & Snyder pun menjelaskan bahwa setelah penyerang mampu menerka sembilan digit nomor akun, mereka dapat mengambil alih data rahasia, informasi akun, menukarkan poin dari Hilton Honors untuk digunakan sebagai pra bayar di kartu kredit & transfer poin pada sesama pengguna akun tersebut. Vulnerability ini pun memungkinkan penyerang untuk melihat alamat pos-el, alamat asli & empat nomor data kartu kredit. Brian Krebs dalam KrebsonSecurity menyatakan bahwa ia sudah dihubungi oleh Potter & Snyder terkait vulnerability tersebut. Berdasarkan keterangan yg diperoleh dari Krebs, pihak Hilton sudah memperbaiki vulnerability dari situs Hilton Honors.
Pihak Hilton sudah menyadari vulnerability ini & telah memperbaikinya, tegas keterangan dari pihak hotel. Hotel Hilton sudah memberikan early warning pada pihak pengguna akun untuk segera mengganti password mereka, sambung mereka dalam siaran persnya. Snyder dalam tulisannya menyatakan bahwa situs Hotel Hilton terindikasi memiliki kerentanan cross-site request forgery (CSRF). Serangan ini terjadi ketika situs jahat, blog, orpun pesan singkat melakukan tindakan yg tidak diinginkan pada situs yg sah. Vulnerability CSRF ini berbahaya karena Hilton Honors tidak perlu memasukan kembali password setelah mereka mendaftar di situs tersebut.
Comments
comments
N3 tidak bisa memberikan klarifikasi berita diatas adalah benar 100% karena kontenSitus Hilton Honors Penuh Vulnerability diatas dikutip dari Internet secara gamblang.
Sumber