Starbucks признала, что ее мобильное платежное приложение для iPhone не шифрует пароли пользователей и данные о местоположении, а вместо этого хранит их в открытом текстовом формате, согласно отчету Computerworld.
Учетные данные хранились таким образом, что любой, кто имел доступ к телефону, мог видеть пароли и имена пользователей, подключив телефон к ПК. Для этого не требовался джейлбрейк телефона. В открытом тексте также отображался обширный список точек отслеживания геолокации (широта, долгота) — настоящий клад для злоумышленников, укравших телефон, с точки зрения безопасности и конфиденциальности.
Уязвимость была впервые обнаружена исследователем безопасности Дэниелом Вудом, который опубликовал свои выводы в интернете для сообщества специалистов по безопасности после безуспешных попыток связаться со Starbucks.
Кофейная компания сообщила Computerworld, что у нее «сейчас действуют меры безопасности, связанные с этим». Однако Вуд сообщил The Verge, что любые действия Starbucks на своей стороне «не будут иметь значения», поскольку уязвимость кроется в самом приложении.
Потенциальные преступники по-прежнему должны были бы физически иметь телефон, чтобы получить любую информацию о пользователе, и единственной доступной информацией были бы имена пользователей, пароли и данные о местоположении, но пользователи приложения, у которых была включена функция «автоматическое пополнение», могли бы позволить преступникам постоянно добавлять деньги на счет приложения для совершения покупок в Starbucks.
Обновление: Starbucks выпустила заявление, в котором признала проблему и пообещала ускорить обновление приложения компании для iOS.
Мы хотим быть предельно откровенными: нет никаких признаков того, что какой-либо клиент пострадал от этого или что какая-либо информация была скомпрометирована. Тем не менее, мы серьезно относимся к подобным опасениям и добавили несколько защитных мер для защиты информации, которой вы с нами делитесь. Для обеспечения целостности этих добавленных мер мы не можем раскрывать технические детали, но можем заверить вас, что они полностью устраняют проблемы, поднятые в отчете об исследовании.
Проявляя максимальную осторожность, мы также работаем над ускорением развертывания обновления для приложения, которое добавит дополнительные уровни защиты. Мы ожидаем, что это обновление будет готово в ближайшее время, и будем делиться нашим прогрессом здесь. Пока мы работаем над обновлением, мы хотим подчеркнуть, что ваша информация защищена, и вы должны продолжать чувствовать уверенность в целостности нашего приложения для iOS.
