Offensive Scenario — Αεροπορική εταιρεία. Τα booking και loyalty
συστήματα μιας αεροπορικής δεν είναι απλώς IT — είναι χρηματικό απόθεμα. Τα μίλια έχουν
αξία, μεταφέρονται και εξαργυρώνονται· ένα API με BOLA/IDOR και χωρίς rate limiting
μετατρέπει το loyalty σε στόχο οργανωμένης απάτης. Το ερώτημα για τη διοίκηση: θα βλέπατε μαζικές,
μη φυσιολογικές εξαργυρώσεις πριν γίνουν ζημιά;

Σημείωση: το παρακάτω σενάριο παρουσιάζεται σε υψηλό, υπεύθυνο επίπεδο. Δεν περιλαμβάνει λειτουργικά payloads ή copy-paste βήματα εκμετάλλευσης. Όλα τα ονόματα, IP, domains και χρήστες είναι ανωνυμοποιημένα εργαστηριακά παραδείγματα (π.χ. contoso.local, 10.10.x.x, CORP-DC01) και αντιστοιχούν σε πραγματικά μοτίβα που έχει συναντήσει η Audax σε ελεγχόμενα έργα υπό NDA.

Executive Summary

Το σενάριο αναπαράγει ελεγχόμενα μια απάτη σε booking/loyalty σύστημα αεροπορικής:
BOLA/IDOR στο API, απουσία rate limiting στο redeem, account takeover και έλλειψη fraud detection.
Η Audax εργάζεται εντός εξουσιοδοτημένου scope (χωρίς πραγματικές συναλλαγές) και αποδεικνύει το
μονοπάτι έως την απάτη και το κενό ανίχνευσης.

Το επιχειρησιακό ρίσκο

Η απάτη στο loyalty σημαίνει άμεση οικονομική ζημιά (αξία μιλίων), αλυσιδωτές υποχρεώσεις προς
συνεργάτες (ξενοδοχεία, κάρτες), νομικές διαφορές με πελάτες, και πλήγμα στην εμπιστοσύνη του
προγράμματος που είναι βασικός μοχλός εσόδων. Προστίθενται υποχρεώσεις GDPR (δεδομένα πελατών) και,
ως κρίσιμη μεταφορά, πιθανές απαιτήσεις NIS2.

Πώς θα μπορούσε να εξελιχθεί ένα αντίστοιχο σενάριο επίθεσης

  1. Exploit Public-Facing (T1190): εκμετάλλευση BOLA/IDOR ή αδυναμιών auth στο
    API.
  2. Valid Accounts (T1078): account takeover λογαριασμών πελατών (credential
    stuffing).
  3. Stored Data Manipulation (T1565.001): αλλοίωση υπολοίπων μιλίων ή κρατήσεων.
  4. Financial Theft (T1657): μαζική εξαργύρωση/μεταφορά μιλίων — χωρίς rate limit
    ή fraud alert.
Kali Linux που ελέγχει ελεγχόμενα ένα booking/loyalty API αεροπορικής και δείχνει IDOR/BOLA, όπου ένας χρήστης διαβάζει τον λογαριασμό μιλίων άλλου πελάτη αλλάζοντας μόνο το account id.
BOLA/IDOR στο loyalty API: αλλάζοντας μόνο το account id, ο ένας χρήστης διαβάζει τον λογαριασμό μιλίων άλλου πελάτη — η βάση για fraud.

Το δεύτερο σκέλος είναι η κλίμακα: χωρίς rate limiting και fraud detection, η απάτη γίνεται
μαζική:

PowerShell/CLI που δείχνει ότι το loyalty redeem API δεν έχει rate limiting ώστε να περνούν εκατοντάδες αιτήματα, και ότι δεν υπάρχει fraud detection για μαζικά redemptions.
Καμία προστασία rate limit στο redeem και μηδενική fraud detection σε μαζικά redemptions: το loyalty γίνεται εύκολος στόχος απάτης.

Τι δοκιμάζει η Audax ελεγχόμενα

Τι πρέπει να ανιχνεύσει το SOC, το SIEM και το EDR

  • credential stuffing και ATO σε λογαριασμούς πελατών·
  • σειριακά αιτήματα σε /account/{id} (BOLA enumeration)·
  • υψηλό όγκο redeem/transfer χωρίς throttling·
  • μη φυσιολογικά patterns εξαργύρωσης (γεωγραφία, ταχύτητα, αξία)·
  • fraud-detection signals και ο χρόνος μέχρι το πρώτο alert.
Τακτική (Tactic) ATT&CK ID Τεχνική Τι σημαίνει στο σενάριο
Initial Access T1190 Exploit Public-Facing Application Αδυναμίες στο booking/loyalty API.
Access T1078 Valid Accounts Κλεμμένοι/ATO λογαριασμοί πελατών.
Discovery T1212 Exploitation for Credential Access Αδυναμίες auth/session στο API.
Impact T1565.001 Stored Data Manipulation Αλλοίωση υπολοίπων μιλίων/κρατήσεων.
Impact T1657 Financial Theft Εξαργύρωση/μεταφορά μιλίων — απάτη.
MITRE ATT&CK mapping του σεναρίου (ελεγχόμενη προσομοίωση).

Τι τεχνική απόδειξη παράγεται

Επικυρωμένα API findings (BOLA/IDOR, missing rate limit), επικυρωμένο μονοπάτι έως απάτη
(anonymized, χωρίς πραγματικές συναλλαγές), τα σημεία όπου η ανίχνευση έπρεπε να ενεργοποιηθεί και
αντιστοίχιση με financial/business impact. Ενδεικτικοί δείκτες:

Τύπος Ένδειξη (anonymized) Πλαίσιο ανίχνευσης
API /loyalty/v1/account/{id} BOLA/IDOR: πρόσβαση σε ξένο λογαριασμό.
API /loyalty/v1/redeem Χωρίς rate limit -> mass fraud.
Behavior 200 redeem, χωρίς 429 Απουσία throttling/abuse control.
Account ATO logins, νέες IP Κλεμμένοι λογαριασμοί πελατών.
Gap No loyalty fraud detection Μαζικά redemptions χωρίς alert.
Ενδεικτικοί δείκτες (IOCs) προς ανίχνευση. Όλες οι τιμές είναι ανωνυμοποιημένες εργαστηριακές αναφορές.

Τι παραδίδεται στη διοίκηση

Executive risk summary με έμφαση στην οικονομική ζημιά και την εμπιστοσύνη του προγράμματος,
ιεραρχημένο remediation roadmap (object-level authz, rate limiting, anti-automation, fraud
detection), παρατηρήσεις ωριμότητας ανίχνευσης, συσχέτιση με GDPR/NIS2, και πλάνο retesting.

Πώς μειώνεται ο κίνδυνος

  • αυστηρό object-level authorization (κατά BOLA/IDOR) σε κάθε endpoint·
  • rate limiting, anti-automation και bot management στο API·
  • MFA & προστασία από credential stuffing στους λογαριασμούς πελατών·
  • fraud detection σε redemptions/transfers με anomaly rules·
  • Breach & Attack Simulation για επικύρωση ανιχνεύσεων, και retesting.

Κλείστε Offensive Assessment

Θέλετε να μάθετε αν η άμυνά σας μπορεί να ανιχνεύσει, να καθυστερήσει και να σταματήσει ένα αντίστοιχο σενάριο; Η Audax μπορεί να το δοκιμάσει ελεγχόμενα, τεκμηριωμένα και με καθαρό πλάνο διορθωτικών ενεργειών — από τα αρχικά σημεία εισόδου έως την κρίσιμη επίπτωση, με πλήρη τεχνική απόδειξη και executive report.

Κλείστε Offensive Assessment →

Θέλετε να επικυρώσετε την ασφάλειά σας στην πράξη;

Η Audax αποδεικνύει το ρίσκο με πραγματικά σενάρια επίθεσης — όχι απλώς λίστες ελέγχου.

Ζητήστε δωρεάν αξιολόγηση →