Vulnerabilidades en la web de Starbucks permitiría el robo de credenciales y tarjetas de crédito

Escrito por Sergio De Luz
Seguridad

Mohamed M. Fouad es un investigador independiente de Egipto conocido por descubrir vulnerabilidades en productos de BitDefender, Microsoft, Oracle, Yahoo, eBay, Sony, WordPress y también ESET entre otros. Ahora ha descubierto dos vulnerabilidades en el sitio de Starbucks que permitiría a un atacante el robo de credenciales, información personal y también datos de las tarjetas de crédito de millones de usuarios.

Según Mohamed, la explotación de estos fallos de seguridad permitiría a un atacante remoto forzar a las víctimas el cambio de sus contraseñas, añadir cuentas de correo electrónico alternativas, cambiar determinados ajustes de su perfil e incluso robarles las tarjetas de crédito asociadas a las cuentas de Starbucks.

Primera vulnerabilidad encontrada: Vulnerabilidad de Inclusión Remota de Archivos (RFI)

La primera vulnerabilidad que este investigador descubrió fue una de Remote File Inclusion, este fallo de seguridad permite inyectar un archivo desde cualquier ubicación en la página web de Starbucks y incluirlo como código fuente. De esta forma, se puede ejecutar fácilmente código en el servidor del sitio de Starbucks, de hecho también se puede ejecutar código JavaScript en el lado del cliente lo que puede permitir otros ataques de tipo Cross-Site Scripting (XSS) para robar información a través de phishing.

Gracias a este fallo de seguridad, era posible robar información de las cuentas de los usuarios registrados, incluyendo el historial de pagos y las tarjetas de crédito asociadas al servicio.

Segunda vulnerabilidad: Cross Site Request Forgery

Una vulnerabilidad CSRF consiste en una falsificación de petición en los sitios web, este ataque fuerza al navegador web de la víctima a enviar una petición a una aplicación web vulnerable.

Esta vulnerabilidad encontrada permitiría a un atacante enviar un enlace malicioso para forzar a la víctima a cambiar información de la cuenta en Starbucks, incluyendo su contraseña. De esta forma podría tomar el control del perfil y acceder a los datos bancarios asociados a ella.

En este enlace de Dropbox podréis ver el vídeo de la prueba de concepto de estos graves fallos de seguridad detectados.

Desde Starbucks en agradecimiento a Mohamed por reportar estos fallos de seguridad, le ha incluido en el programa de recompensas. En el blog de Mohamed tenéis todos los detalles sobre estos fallos de seguridad en la web de Starbucks.

Os recomendamos acceder a nuestra página dedicada a la seguridad informática donde encontraréis manuales de cómo proteger nuestros equipos lo máximo posible. Asimismo también os recomendamos acceder a nuestra sección de redes donde tenéis tutoriales para sacar el máximo partido a tu red doméstica.


Últimos análisis

Valoración RZ
8
Valoración RZ
9
Valoración RZ
9
Valoración RZ
10
Valoración RZ
9
Valoración RZ
10
Valoración RZ
7
Valoración RZ
9
Valoración RZ
10