image

Beveiligingslek gaf toegang tot data van bijna 100 miljoen Starbucks-klanten

maandag 22 juni 2020, 14:03 door Redactie, 6 reacties

Een kritiek beveiligingslek bij Starbucks maakte het mogelijk om de gegevens van bijna honderd miljoen klanten op te vragen, zoals gebruikersnaam, naam, e-mailadres, telefoonnummers, adresgegevens, registratiedatum, land en het systeem waarmee er werd geregistreerd. Starbucks heeft de kwetsbaarheid inmiddels verholpen.

Beveiligingsonderzoeker Sam Curry ontdekte het probleem toen hij iets via de Starbucks-website wilde kopen. Het viel Curry op dat één van de API's waar de Starbucks-webapplicatie gebruik van maakt data van een andere host leek door te sturen. Verder onderzoek wees uit dat dit inderdaad het geval was. Het ging om een intern Starbucks-systeem.

Curry ontdekte dat de API niet goed omging met gebruikersinvoer, waardoor het mogelijk was een path traversal-aanval uit te voeren en zo toegang tot endpoints op het interne Starbucks-systeem te krijgen. Starbucks maakte wel gebruik van een webapplication firewall, maar die wist Curry te omzeilen. Eén van de directories die de onderzoeker via de path traversal-aanval vindt blijkt van een Microsoft Graph-installatie te zijn die toegang tot de gegevens van bijna honderd miljoen Starbucks-klanten heeft.

Ook vindt Curry verschillende endpoints waarmee het waarschijnlijk mogelijk is om cadeaubonnen, adresgegevens, beloningen en aanbiedingen aan te passen, hoewel de onderzoeker dit niet verder onderzoekt. Hij waarschuwt Starbucks op 16 mei, waarna de kwetsbaarheid op 17 mei wordt verholpen. Voor zijn bugmelding ontvangt Curry een beloning van 4.000 dollar. Starbucks biedt via het HackerOne-platform een bug bounty-programma en heeft voor kritieke kwetsbaarheden een maximale beloning van vierduizend dollar ingesteld.

Reacties (6)
22-06-2020, 15:26 door Anoniem
Klant waardering van StarSucks: 100.000.000 / 4.000 = $ 0.00004
22-06-2020, 15:44 door Anoniem
Door Anoniem: Klant waardering van StarSucks: 100.000.000 / 4.000 = $ 0.00004
Waar heb jij ooit rekenen geleerd?
22-06-2020, 15:46 door souplost
4000 dollar alsof je een emmer leeg gooit. Ze hebben meer waardering voor de Microsoft software.
22-06-2020, 16:12 door Anoniem
Door souplost: 4000 dollar alsof je een emmer leeg gooit. Ze hebben meer waardering voor de Microsoft software.
Yep. "4000 (star-) bucks thrown out of a bucket."

Klinkt plausibel.
22-06-2020, 16:26 door Anoniem
Door souplost: 4000 dollar alsof je een emmer leeg gooit. Ze hebben meer waardering voor de Microsoft software.
Ja hoor, daar heb je hem weer! Als je het artikel gelezen EN begrepen had, zag je, dat na een aantal websystemen ze uit kwamen bij een Windows systeem. De websites zullen wel op een Linux server draaien en daar kwamen ze zonder moeite doorheen!
27-06-2020, 17:34 door Anoniem
Starbucks verkoopt koffie - geen it-diensten. Dus waarom hebben die die gegevens nodig? Daar moet je je als klant ernstige vragen bij stellen. Te mijden, te boycotten. Ik zet hen op mijn zwarte lijst - ik zal wel in een gewoon café een koffie drinken - ipv. bij zo'n beursgenoteerde gifmengers (zij kieperen veel te veel corn-syrup of suikers in hun goedje).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.