3 vulnerabilidades son descubiertas en el sitio de StarBucks

por LjGo / 19 de septiembre del 2015 12:12 PM EDT

Si tienes una cuenta en el sitio web Starbucks, es posible que tus datos personales y detalles de tus tarjetas de crédito estén corriendo el peligro.

Los casos de piratería informática han causado gran polémica este 2015, y desde entonces, muchos investigadores están al tanto de chequear las páginas que obligan a sus usuarios a ingresar detalles de cuentas bancarias, cómo el número de tarjeta de crédito o las claves de acceso bancario online.

¡Alerta! En el sitio StarBucks se ha expuesto 3 vulnerabilidades que arriesgan tu seguridad

Se encontró 3 vulnerabilidades en el sitio web Starbucks

Y es que la vulnerabilidad de los sitios de hoy en día suelen ser tan minúsculas que es imposible detectarlas a simple vista. Además, tratándose de sitios web de compras, es primordial tener una cuenta donde puedas incluir detalles sobre tus cuentas bancarias a la hora de realizar una compra.

Mohamed M. Fouad, es el nombre del investigador de seguridad de Egipto que encontró las 3 vulnerabilidades que existen en el sitio web Starbucks; los cuales convierten al sitio en un blanco fácil para los piratas cibernéticos. Pero lo más grave de esto es que no sólo podrían acceder a tus datos personales, sino que también podrán tener acceso a tus cuentas bancarias y realizar compras. Lo peor del caso es que cada una de las vulnerabilidades pone al alcance de un clic la posibilidad de hacerse cargo de tu cuenta.

¡Alerta! En el sitio StarBucks se ha expuesto 3 vulnerabilidades

Por ello te nombraremos las 3 vulnerabilidades del sitio StarBucks son:

  1. Ejecución remota de código.
  2. Integración de archivos remotos que conducen a ataques de “phishing”.
  3. CSRF.

Robo de tu tarjeta de crédito al haber accedido a tus datos

Existe un caso remoto que le permite al atacante cibernético inyectar un archivo que le permitirá:

Ejecución remota de código por medio del servidor web de Starbucks.

Ejecución remota de código para acceder a la cuenta del usuario; inclusive podría generar otros ataques como el “Cross-Site Scripting (XSS)”.

Robo de datos por medio de ataques de ‘phishing’.

Secuestro de la cuenta en Starbucks usando CSRF

El CSRF (o Cross-Site Request Forgery) es un método de acceso ilegal que le permite al pirata hacerse pasar por el usuario legítimo, y sólo con conseguir el navegador destino y hacer una solicitud a Starbucks, de la siguiente manera:

– Realizar trampas a los usuarios para que hagan clic en su página HTML.

– Insertar HTM de manera arbitraria en el sitio destino.

De modo que, cuando el cliente legítimo le dé clic en un URL, el pirata pueda cambiar la contraseña de su cuenta sólo con utilizar el método CSRF. Entonces, gracias a ello, el atacante podría secuestrar tu cuenta, eliminarla o cambiar tu contraseña y ultrajar tus cuentas bancarias.

Para una mayor demostración, vea el siguiente vídeo: