Vulnerabilidades en la web de Starbucks permitiría el robo de credenciales y tarjetas de crédito
Vulnerabilidades en la web de Starbucks permitiría el robo de credenciales y tarjetas de crédito
Mohamed M. Fouad es un investigador independiente de Egipto conocido por descubrir vulnerabilidades en productos de BitDefender, Microsoft, Oracle, Yahoo, eBay, Sony, WordPress y también ESET entre otros. Ahora han descubierto dos vulnerabilidades en el sitio de Starbucks que permitiría a un atacante el robo de credenciales, información personal y también datos de lasxxx tarjetas de crédito de millones de usuarios.
Según Mohamed, la explotación de estos fallos de seguridad permitiría a un atacante remoto forzar a las víctimas el cambio de sus contraseñas, añadir cuentas de correo electrónico alternativas, cambiar determinados ajustes de su perfil e incluso robarles las tarjetas de crédito asociadas a las cuentas de Starbucks.
Primera vulnerabilidad encontrada: Vulnerabilidad de Inclusión Remota de Archivos (RFI)
La primera vulnerabilidad que este investigador descubrió fue una de Remote File Inclusion, este fallo de seguridad permite inyectar un archivo desde cualquier ubicación en la página web de Starbucks y incluirlo como código fuente. De esta forma, se puede ejecutar fácilmente código en el servidor del sitio de Starbucks, de hecho también se puede ejecutar código JavaScript en el lado del cliente lo que puede permitir otros ataques de tipo Cross-Site Scripting (XSS) para robar información a través de phishing.
Gracias a este fallo de seguridad, era posible robar información de las cuentas de los usuarios registrados, incluyendo el historial de pagos y las tarjetas de crédito asociadas al servicio.
Segunda vulnerabilidad: Cross Site Request Forgery
Una vulnerabilidad CSRF consiste en una falsificación de petición en los sitios web, este ataque fuerza al navegador web de la víctima a enviar una petición a una aplicación web vulnerable.
Esta vulnerabilidad encontrada permitiría a un atacante enviar un enlace malicioso para forzar a la víctima a cambiar información de la cuenta en Starbucks, incluyendo su contraseña. De esta forma podría tomar el control del perfil y acceder a los datos bancarios asociados a ella.
En este enlace de Dropbox podréis ver el vídeo de la prueba de concepto de estos graves fallos de seguridad detectados.
Desde Starbucks en agradecimiento a Mohamed por reportar estos fallos de seguridad, le ha incluido en el programa de recompensas. En el blog de Mohamed tenéis todos los detalles sobre estos fallos de seguridad en la web de Starbucks.
Os recomendamos acceder a nuestra página dedicada a la seguridad informática donde encontraréis manuales de cómo proteger nuestros equipos lo máximo posible. Asimismo también os recomendamos acceder a nuestra sección de redes donde tenéis tutoriales para sacar el máximo partido a tu red doméstica.
– Ver informacion original al respecto en Fuente:
to/#sthash.mI6BgIpG.dpuf
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.