גילו פרצות אבטחה באתר סטארבקס

ב-16 ספטמבר פרסם חוקר אבטחה מצרי Mohamed M .Fouad כי הוא גילה כשלי אבטחה קריטיים באתר סטארבקס, אשר מאפשרים להאקרים לגנוב את פרטי האשראי של המשתמשים ולבצע הרצה מרוחקת של קוד באתר.

בפוסט הוא מסביר ומדגים כיצד גילה חולשות אבטחה רבות באתר החברה, אשר להן השלכות חמורות על המשתמשים, באמצעות אילוצם להחליף סיסמאות, הוספת כתובות דוא"ל חלופיות, או אף שינוי תכולת הפרופיל שלהם וגנבת פרטי האשראי השמורים באלו, לצד שתי חולשות קריטיות המאפשרות ביצוע מתקפות פישינג עליהם והרצה מרוחקת של קוד על שרתי סטארבקס.

על חולשות עלה הוא דיווח לחברה ב-29 ביוני 2015, אולם ללא כל מענה וב-4 יולי 2015 לשרות הלקוחות של החברה באמצעות חשבון הטוויטר שלה. באותה העת הוא דיווח על כך גם ל-US-CERT.

ב-20 באוגוסט הוא קיבל תשובה מ-US-CERT לפיה החברה מאשרת את קיום שתי החולשות שמצא וכי היא מבקשת 30 יום נוספים כדי לטפל בכך בטרם הפרסום.

לדבריו החולשות תוקנו לפני עשרה ימים וכי הוא עדיין ממתין לפרסום של החברה ולתמורה שלו בגין איתור החולשות.