Článek
Zákazníci mohou dárkové karty Starbucks registrovat online a mohou na nich také online provádět finanční transakce. Jegor Homakov, zjistil, že když jsou peníze převáděny mezi dvěma kartami ve stejný okamžik, může dojít k duplikaci transferu: na jednu kartu se peníze připíšou, zatímco z druhé neodešly. [celá zpráva]
Jegor Homakov je takzvaný etický hacker, který detailně zkoumá procesy a mechanismy a snaží se přijít na kloub zajímavým věcem, ale který výsledky své snahy nezneužívá k získání žádného prospěchu. V souvislosti se zkoumáním fungování karet Starbucks vyzkoušel, jak nastavit dva internetové prohlížeče, aby vytvořil podmínky pro zmíněnou duplikaci transferu peněz mezi kartami.
Aby ověřil, že zneužití zabezpečení karet je opravdu možné, utratil v Starbucks 1,70 dolaru za sendvič a pití a tuto částku pak nechal na svou kartu připsat. Vzápětí o svém zjištění informoval firmu.
Dostal telefonicky vynadáno
Je sice mnoho firem, které veřejně nabízejí odměnu každému, kdo odhalí a hned nahlásí zjištěné bezpečnostní díry v jejich systémech, ale Starbucks žádný takzvaný „Bug Bounty“ program nemá. Homakov tedy nečekal žádnou odměnu, ale reakcí firmy byl nemile překvapen. Místo poděkování dostal telefonicky vynadáno. „V telefonátu zazněla slova jako podvod nebo škodlivé jednání,“ popsal Homakov v rozhovoru pro BBC News.
BBC News požádala o komentář Grahama Cluleyho, bezpečnostního experta, který spolupracuje se společností ESET.
„Je jasné, že v žádné firmě nevzbudí nadšení, když někdo čenichá kolem jejich systémů a hledá díry v zabezpečení. Ale teoreticky správný postup, tedy napřed informovat firmu o záměrech a vyžádat si svolení, často prostě nefunguje,“ uvedl Graham Cluley.
„Ve věrnostních programech se točí obrovské peníze. Velké firmy by proto měly ve vlastním zájmu povzbuzovat bezpečnostní komunitu, aby pomáhala zlepšit jejich zabezpečení. Co udělal Jegor Homakov, to je pro Starbucks užitečná služba,“ uzavírá Graham Cluley.