星巴克官网曝严重漏洞 会员账户存盗窃风险

简介:

如果你在星巴克网站注册过会员,那么建议你得改密码了。

星巴克官网曝严重漏洞 会员账户存盗窃风险

星巴克网站多枚高危漏洞

星巴克拥有数百万的注册用户,他们在账户填写了自己的信用卡信息,而新发现的漏洞可能导致这些信息的泄露。

埃及的独立安全研究员Mohamed M.表示,他在星巴克上发现了三个严重漏洞。黑客可以通过利用其中简单的点击劫持漏洞,获取受害用户账号的权限。

这三个漏洞分别是:

远程代码执行
远程文件包含(钓鱼攻击)
CSRF(跨站请求伪造)

漏洞描述

远程文件包含

黑客可以将任意地址的文件注入到该目标页面,其中包含源代码解析执行之类的攻击。

WEB服务器的远程代码执行

在客户端存在远程代码执行,黑客可以执行如XSS等攻击。

通过钓鱼攻击可以进行数据窃取和操作,比如黑客可以窃取你在星巴克网站存储的信用卡信息。

使用CSRF劫持星巴克账户

黑客利用CSRF跨站请求伪造攻击,让一个合法用户代他们发起攻击,他们可以:

说服人们点击他们的HTML页面。

往目标站点插入任意HTML页面

在这种情况下,攻击者可以用CSRF诱骗用户点击URL,在不经意中更改存储的账户信息和密码。黑客可以劫持受害者的账户、删除帐户,或者改变受害者绑定的邮件地址。

视频演示地址:https://www.youtube.com/watch?v=IjnHdcJi7n0

苦等奖金的白帽子

作为一名正义的白帽子,Mohamed将漏洞两度报告给星巴克,但没有得到任何回应。

Mohamed后来将漏洞报告给了US-CERT,而星巴克团队在十几天前修复了漏洞。星巴克在两个月前开启了漏洞奖金计划,目前Fouad还在苦逼地等待星巴克团队的回应和漏洞奖金。


作者:dawner


来源:51CTO


相关文章
|
新零售 监控 安全
华住酒店用户数据疑被泄露,企业数据自保攻略有二
近日,网曝疑似华住集团旗下连锁酒店用户数据在暗网售卖。从卖家发布内容看,数据包含华住旗下汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等酒店。泄露的信息包括华住官网注册资料、酒店入住登记的身份信息及酒店开房记录,住客姓名、手机号、邮箱、身份证号、登录账号密码等。
2584 0
|
新零售 安全 数据安全/隐私保护
|
安全
Roberts Hawaii旅游公司被黑,信用卡和个人信息泄漏
本文讲的是Roberts Hawaii旅游公司被黑,信用卡和个人信息泄漏,你去年去Hawaii旅游过吗?近日,Roberts Hawaii旅游公司发出警告声明称,该公司发生的数据泄漏事件可能会影响2015年7月到2016年12月份期间,在其网站上订购旅行及其他服务的用户。
1742 0
|
安全
多家银行手机转账现高危漏洞 ,用户资金或被非法窃取
本文讲的是多家银行手机转账现高危漏洞 ,用户资金或被非法窃取,随着智能手机的普及和移动互联网的快速扩张,国内移动支付发展迅猛,各家银行纷纷推出手机银行产品。与此同时,安全问题也不断出现,钓鱼诈骗、信息泄露、资金盗取等问题一直困扰着从业者和用户。
1797 0