בדוח של חברת Salt Labs דווח על מספר פגיעויות אבטחה קריטיות ב- Booking.com. חוקרי סייבר בחברת Salt Labs זיהו נקודות תורפה העלולות לאפשר להאקרים להשתלט על חשבונות משתמשי Booking.com, לגנוב נתונים אישיים, לבצע הזמנות או לבטלן וכן, לבצע פעולות אחרות בשמם. פגיעויות האבטחה שתוקנו כעת נמצאו ביישומון פונקציונליות ההתחברות החברתית הפתוחה (OAuth) הנמצא בשימוש Booking.com. לפגיעויות האבטחה היה פוטנציאל להשפיע על כל משתמש שהתחבר לאתר Booking.com דרך חשבון הפייסבוק שלו.
יישומון OAuth מאפשר למשתמשים להיכנס לאתרים באמצעות חשבונות המדיה החברתית שלהם בלחיצה אחת, במקום באמצעות רישום משתמש "מסורתי" ואימות על ידי שם משתמש וסיסמה. חברת Salt Labs מציינים כי OAuth הפך לסטנדרט התעשייה ונמצא כיום בשימוש של מאות אלפי שירותים ברחבי העולם. כתוצאה מכך, להגדרות שגויות של OAuth עלולות להיות השפעות משמעותית הן על החברות והן על הלקוחות, שכן הן חושפות נתונים פרטיים יקרי ערך בפני פושעי סייבר. פרצות אבטחה יכולות להימצא בכל אתר אינטרנט וכתוצאה מהתרחבות מהירה, ארגונים רבים אינם מודעים לשלל סיכוני האבטחה הקיימים בפלטפורמות שלהם.
בעוד ש- OAuth מספק למשתמשים חווית משתמש הרבה יותר קלה באינטראקציה עם אתרי אינטרנט, הקצה האחורי הטכני המורכב של היישומון יכול ליצור בעיות אבטחה עם פוטנציאל לניצול. על ידי מניפולציה של שלבים מסוימים ברצף ה- OAuth באתר Booking.com, גילו חוקרי Salt Labs שהאקרים יכולים להשיג השתלטות על חשבונות משתמשים, לגנוב נתוני משתמשים ולבצע פעולות בשם המשתמשים. ייתכן שכל משתמש Booking.com שהגדיר התחברות באמצעות Facebook הושפע מפגיעות אבטחה זו. בהתחשב בפופולריות השימוש באפשרות "התחבר עם פייסבוק", יכלו מיליוני משתמשים להיות בסיכון. Kayak.com (חלק מחברת האם Booking Holdings Inc) עשויה להיות מושפעת גם היא, מכיוון שהיא מאפשרת למשתמשים להיכנס באמצעות האישורים של Booking.com, מה שמגדיל למיליונים את מספר המשתמשים הרגישים לפגיעויות אבטחה אלו.
