20 sep. 2015

Vulnerabilidad en Starbucks permitía robo de tarjetas de crédito

¿Alguna vez te registraste en el sitio web de Starbucks? Cambia tus contraseñas de inmediato!

Si eres uno de los millones de clientes de Starbucks que se registraron y dieron detalles de sus tarjetas de crédito en el sitio web de la compañia, tus datos bancarios son vulnerables a los piratas informáticos.

Mohamed M. Fouad un investigador independiente de seguridad informática de Egipto ha encontrado tres vulnerabilidades críticas en el sitio web de Starbucks que permiten a los atacantes hackear tu cuenta en un clic.

Las vulnerabilidades detectadas son:
  • Ejecución remota de código
  • Inclusión de archivos remotos para organizar ataques de phishing
  • CSRF (Falsificación de requerimientos del sitio )

Detalles del robo de Tarjetas de Crédito

En caso de que la inclusión remota de archivos falle, un atacante puede inyectar un archivo desde cualquier lugar dentro de la página de destino, que incluye código fuente para el análisis y ejecución, lo que permite al atacante realizar:
  • Ejecución remota de código en el servidor web de la empresa
  • Ejecución remota de código en el lado del cliente, permitiendo al potencial atacante realizar otros ataques como Cross-Site Scripting (XSS)
  • Robo de datos o manipulación de datos a través de ataques de phishing en un intento de secuestrar cuentas de los clientes que contienen detalles de sus tarjetas de crédito.

Secuestro Cuenta Starbucks tienda Utilizando CSRF

CSRF ( Cross-Site Request Forgery ) es un método de ataque a un sitio web en el que un intruso se hace pasar por un usuario legítimo. Todo lo que el atacante tiene que hacer es conseguir la dirección del navegador de destino para hacer una solicitud al sitio en su nombre, puede:
  • Convencer a los usuarios a hacer clic en una página HTML
  • Insertar el HTML arbitrariamente en un sitio de destino.
En este caso, un atacante puede utilizar CSRF para engañar a la víctima a hacer clic en una URL que cambia la información de cuenta del usuario incluyendo la contraseña de su cuenta en la tienda.

Esto podría permitir al atacante secuestrar las cuentas, eliminar o cambiar en las cuentas víctimas las direcciones de correo electrónico.

Demostración de vídeo

Fouad ha facilitado una demostración en video como prueba de concepto para demostrar un ataque real. El video a continuación:
En un estilo de Hacker ético (sombrero blanco), Fouad informó las fallas críticas al personal de tecnologías de Starbucks dos veces, pero no le hicieron caso.

Después de estos dos intentos, Fouad reportó los defectos en la seguridad del sitio al US-CERT, que confirmó las vulnerabilidades e informó al equipo de seguridad de StarBucks desde hace casi diez días.

Sin embargo, Fouad sigue esperando su café y la respuesta generosa del equipo de Starbucks, ya que la empresa inició un programa de recompensas por avisar de errores hace apenas dos meses.

Fuente: Diario de Morelos

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!