<div dir="ltr">Topical story in the news today about Airbnb:<div><br></div><div>Airbnb account hijackers burgle homes<br></div><div><a href="http://www.bbc.co.uk/news/technology-39589241">http://www.bbc.co.uk/news/technology-39589241</a><br></div><div><br></div><div>BBC reporting rash of burglaries of Airbnb hosts due to hacking of accounts<br></div><div><a href="http://airhostsforum.com/t/bbc-reporting-rash-of-burglaries-of-airbnb-hosts-due-to-hacking-of-accounts/13180">http://airhostsforum.com/t/bbc-reporting-rash-of-burglaries-of-airbnb-hosts-due-to-hacking-of-accounts/13180</a><br></div><div><br></div><div>Could be credential stuffing.</div><div><br></div><div>Colin</div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On 13 April 2017 at 19:59, Colin Watson <span dir="ltr"><<a href="mailto:colin.watson@owasp.org" target="_blank">colin.watson@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>Thank you to everyone in the Top Ten project for all the effort in creating this RC.</div><div><br></div><div>Last year when the data call was announced, we had some discussion on the Leaders' List about "lack of anti-automation":</div><div><br></div><div><span class="m_308626938408392496gmail-Apple-tab-span" style="white-space:pre-wrap">    </span><a href="http://lists.owasp.org/pipermail/owasp-leaders/2016-June/016877.html" target="_blank">http://lists.owasp.org/<wbr>pipermail/owasp-leaders/2016-<wbr>June/016877.html</a></div><div><br></div><div>As pointed out to me in that discussion, "lack of anti-automation" was included in the the 2013 Top 10 "Additional Risks to Consider":</div><div><br></div><div><span class="m_308626938408392496gmail-Apple-tab-span" style="white-space:pre-wrap">      </span><a href="https://www.owasp.org/index.php/Top_10_2013-Details_About_Risk_Factors" target="_blank">https://www.owasp.org/index.<wbr>php/Top_10_2013-Details_About_<wbr>Risk_Factors</a></div><div><br></div><div>This item has been dropped from the 2017 RC1 completely - it is not in the top 10 or in the additional risks. And none of the other 2013 risks include these types of attack.</div><div><br></div><div>I wonder if it is somehow meant to be included in A7 - the Automated Threats Project is mentioned as a reference for A7. However, I feel this may be incorrect since none of the threats in the scope of the Automated Threats project appear to be mentioned in the description, explanation or example attack scenarios for A7 in 2017 RC1. A7 seems to relate to exploitation of vulnerabilities. </div><div><br></div><div>Our project's unwanted automated usage are not about exploitation of vulnerabilities, but instead often relate to misuse of inherent valid functionality. To that end I feel it odd that such automated threats appear neither in the 2017 RC1 Top 10, nor in the “additional risks to consider”.</div><div><br></div><div>Whilst breach reporting does not provide comprehensive or representative coverage of attacks, the following recent major incidents indicate the types of issue:</div><div> </div><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div>Tesco Bank account enumeration (40,000 accounts)</div><div><a href="http://www.coventrytelegraph.net/news/coventry-news/tesco-bank-fraud-what-you-12138631" target="_blank">http://www.coventrytelegraph.<wbr>net/news/coventry-news/tesco-<wbr>bank-fraud-what-you-12138631</a></div><div><br></div><div>Credential stuffing attacks on other sites following LinkedIn and Yahoo breaches</div><div><a href="https://medium.com/@UnifyID/credential-stuffing-how-prc-almost-hacked-my-steam-2106a2f443e7" target="_blank">https://medium.com/@UnifyID/<wbr>credential-stuffing-how-prc-<wbr>almost-hacked-my-steam-<wbr>2106a2f443e7</a></div></blockquote><div> </div><div>Some developers and testers ignore or do not think about such threats, and therefore there is under reporting of these issues in many organisation’s pen test reports and issue logging, yet lead to significant ongoing pain to application owners/operators. I have never found any web application that isn't at risk from some automated threat (we have listed 20 types of threats, soon to be 21). The ease of exploitation is typically EASY (because the functionality is inherently built into the web application). Since automated threats can be a risk for many different types of functionality, my belief is the prevalence is just as common as XSS, so prevalence is WIDESPREAD and detectability is EASY. If exploited the impact is typically MODERATE, often affecting the application’s owner, and users and other parties.</div><div><br></div><div>Regarding protections, in our project's Automated Threat Handbook we document 14 classes of countermeasures for automated threats – only a couple of which might be provided by something such as a WAF. Most countermeasure classes are actually much more relevant to development processes. Most do not appear in the "how do I prevent this" for A7, or any other risk, in 2017 RC1.</div><div><br></div><div>Colin Watson</div><div>Project co-leader</div><div>OWASP Automated Threats to Web Applications Project</div><div><br></div><div><a href="https://www.owasp.org/index.php/OWASP_Automated_Threats_to_Web_Applications" target="_blank">https://www.owasp.org/index.<wbr>php/OWASP_Automated_Threats_<wbr>to_Web_Applications</a></div><div><br></div></div>
</blockquote></div><br></div>