希尔顿示系统缺陷已修复
互联网安全专家表示,希尔顿忠诚度项目(Hilton HHonors)的网站系统较脆弱,用户的个人信息可能面临危险。而希尔顿方面表示,系统缺陷已经修复。
数字安全专家Brian Krebs表示,“安全咨询和测试公司Bancsec的技术安全顾问和创始人Brandon Potter和JB Snyder发现了系统的问题。他们发现,如果登录Hilton Honors的账户后,如果得知其他账户的账户名,就可以进入任一账户。只要改变网站很少一部分的HTML内容,重新加载浏览器就可以做到。”
网站潜在的危险,在于用户登录一次后,自动享有所有其他网站的登录权限,为跨站点请求伪造攻击(CSRF)提供了便利之门。黑客可以从用户信赖的网站获得非授权的请求,欺骗网站,进入他人账户。
希尔顿没有表明该方法是否被用来获取个人信息。但是去年11月,曾高密度的集中发生过攻击酒店忠诚度项目账户的行为,希尔顿的HHonors也包括在内。
希尔顿方面要求HHnonors项目的会员更改密码。但是对于这种技术而言,密码几乎是不需要的。
安全软件公司Tripwire的安全分析师Ken Westin表示,“行业标准的数据安全评测名为PCI DSS,并不适用于忠诚度项目,尽管这些积分可以用来兑换物品和服务。如果不对这些忠诚度项目进行一定程度的保护,航空公司和酒店有可能损害品牌名誉,失去这些忠诚的客户。”
(作者:佚名 编辑:admin)
文章热词:
上一篇:璞富腾酒店重塑品牌
下一篇:北京市财政局转发财政部新版《党政机关会议定点管理办法》
延伸阅读:
最新文章
推荐文章
热门文章