Starbucks tem sido chamado para fora após o seu aplicativo de smartphone foi pego armazenar senhas não criptografadas no sistema de arquivos do mobe.
A programação preguiçoso foi revelado ontem pelo pesquisador de segurança Daniel Madeira depois que ele remexia aplicativo iOS do vendedor quente de leite caro.
A senha de texto armazenado é usado para fazer logon em conta Starbucks online do usuário, enquanto que o software deveria ter usado um token criptográfico ou similar, de preferência. Qualquer um que pode ter em suas mãos a senha de usuário e endereço de e-mail não criptografada poderia bater o jackpot se a vítima usa esses detalhes para fazer login em outros sites.
Ficando as mãos sobre essas credenciais não é um pedaço de bolo do queque muito caro, no entanto. Madeira descreveu uma maneira de reunir os dados: conectar o iPhone da vítima para um computador desktop, e depois usar a ferramenta de diagnósticos Crashlytics para acessar arquivo de log do aparelho - em que o aplicativo Starbucks deixa as informações do usuário sem criptografia.
Vale a pena notar que, no caso de um telefone é roubado por um invasor que é capaz de acessar e extrair dados de arquivos de log, a santidade de uma conta de lealdade online Starbucks é bem baixo em uma longa lista de coisas que se deve estar preocupado.
Ainda assim, que o café gigante EUA não seria suficiente para fornecer proteções básicas e armazenar informações de clientes em texto simples sugere uma abordagem negligente com a segurança.
Logo após a divulgação da vulnerabilidade, Starbucks divulgou um comunicado confirmando a falha e informando que a companhia estava se movendo para resolver a questão em seu aplicativo móvel.
"Nós gostaríamos de ser claros: não há nenhuma indicação de que qualquer cliente tem sido impactado por este ou que qualquer informação tenha sido comprometida", disse a empresa em um comunicado.
"Independentemente disso, nós levamos estes tipos de preocupações a sério e ter adicionado várias salvaguardas para proteger a informação que você compartilha com a gente."
A empresa também está pedindo aos usuários para reportar diretamente nenhum roubo de conta ou tentativas de fraude acredita ou suspeita.
O uso de criptografia para proteger os dados dos clientes é essencial como varejistas e restaurantes desenvolver e implantar serviços de pagamento móvel e recompensas, que armazenam e transferem informações sensíveis. As empresas que não levar segurança a sério estão simplesmente colocando-se em uma estrada ao fracasso caro. ®
via Alimentação (Feed)
Nenhum comentário:
Postar um comentário