Si eres uno de los millones de clientes de Starbucks que se registraron
y dieron detalles de sus tarjetas de crédito en el sitio web de la
compañia, tus datos bancarios son vulnerables a los piratas
informáticos.
Mohamed M. Fouad un investigador independiente de seguridad
informática de Egipto ha encontrado tres vulnerabilidades críticas en el
sitio web de Starbucks que permiten a los atacantes hackear tu cuenta
en un clic.
Las vulnerabilidades detectadas son:
- Ejecución remota de código
- Inclusión de archivos remotos para organizar ataques de phishing
- CSRF (Falsificación de requerimientos del sitio )
Detalles del robo de Tarjetas de Crédito
En caso de que la inclusión remota de archivos falle, un atacante puede
inyectar un archivo desde cualquier lugar dentro de la página de
destino, que incluye código fuente para el análisis y ejecución, lo que
permite al atacante realizar:
· Ejecución remota de código en el servidor web de la empresa
· Ejecución remota de código en el lado del cliente,
permitiendo al potencial atacante realizar otros ataques como Cross-Site
Scripting (XSS)
· Robo de datos o manipulación de datos a través de ataques de
phishing en un intento de secuestrar cuentas de los clientes que
contienen detalles de sus tarjetas de crédito.
Secuestro Cuenta Starbucks tienda Utilizando CSRF
CSRF ( Cross-Site Request Forgery ) es un método de ataque a un sitio
web en el que un intruso se hace pasar por un usuario legítimo. Todo lo
que el atacante tiene que hacer es conseguir la dirección del navegador
de destino para hacer una solicitud al sitio en su nombre, puede:
· Convencer a los usuarios a hacer clic en una página HTML
· Insertar el HTML arbitrariamente en un sitio de destino.
En este caso, un atacante puede utilizar CSRF para engañar a la víctima
a hacer clic en una URL que cambia la información de cuenta del usuario
incluyendo la contraseña de su cuenta en la tienda.
Esto podría permitir al atacante secuestrar las cuentas, eliminar o
cambiar en las cuentas víctimas las direcciones de correo electrónico.
Demostración de vídeo
Fouad ha facilitado una demostración en video como prueba de concepto para demostrar un ataque real. El video a continuación:
En un estilo de Hacker ético (sombrero blanco), Fouad informó las
fallas críticas al personal de tecnologías de Starbucks dos veces, pero
no le hicieron caso.
Después de estos dos intentos, Fouad reportó los defectos en la
seguridad del sitio al US-CERT, que confirmó las vulnerabilidades e
informó al equipo de seguridad de StarBucks desde hace casi diez días.
Sin embargo, Fouad sigue esperando su café y la respuesta generosa del
equipo de Starbucks, ya que la empresa inició un programa de recompensas
por avisar de errores hace apenas dos meses.
____________________________________________________________
Se Respetan Derechos de Autor.