Een beveiligingslek in de mobiele app van koffieketen Starbucks voor iOS zorgt ervoor dat gegevens van gebruikers, zoals gebruikersnaam, e-mailadres en wachtwoord, onversleuteld worden opgeslagen. De app blijkt ook adresgegevens, naam, apparaat-ID en geolocatiegegevens in platte tekst te bewaren.

Het probleem ontstaat door het deel van de app dat crashes verwerkt. Zodra de app crasht worden de gebruikersgegevens onversleuteld opgeslagen. De data zou later door een aanvaller kunnen worden bemachtigd. Die kan daarmee toegang tot het Starbucks-account van de gebruiker krijgen. Via de Starbucks-app kunnen gebruikers hun Starbuckskaart aan de smartphone koppelen, tegoeden via PayPal of creditcard opladen en via de app in winkels over de hele wereld betalen.

Melding

Beveiligingsonderzoeker Daniel Wood had het probleem vorig jaar ontdekt en in december aan de koffieketen gemeld, maar niets gehoord. Daarop besloot hij deze week zijn bevindingen op de Full-disclosure mailinglist te publiceren. Een woordvoerster van Starbucks laat tegenover ThreatPost weten dat het bekend met het onderzoek van Wood is en dat het om 'theoretische kwetsbaarheden' gaat.

Er zouden op het moment dan ook geen directe gevolgen voor klanten zijn. Wel zou het bedrijf aanvullende maatregelen hebben genomen om gevoelige gegevens die mogelijk op deze manier verstuurd zijn te beschermen. Of Starbucks het probleem in de app gaat oplossen is onbekend. Sinds 2 mei 2013 is er geen nieuwe versie van de app verschenen.