تحذير: معلومات بطاقات الدفع الإلكترونية الخاصة بعملاء StarBucks عرضة للاختراق
إذا كنت واحد من الملايين من عملاء StarBucks الذين يمتلكون حساب مسجل على الموقع الإلكتروني الخاص بـ StarBucks، إذاً معلوماتك البنكية عرضة للاختراق من القراصنة.
الباحث الأمني المصري Mohamed M. Fouad قام باكتشاف ثلاثة ثغرات أمنية في الموقع الإلكتروني الخاص بـ StarBucks، هذه الثغرات تسمح للمهاجم باختراق حسابك بضغطة زر !.
الثغرات الثلاثة هما كالتالي:ـ
Remote Code Execution
Remote File Inclusion
CSRF (Cross Site Request Forgery)
بالنسبة لثغرة الـ Remote File Inclusion فإن المهاجم بإمكانه أن يقوم بحقن ملف يحوي كود ضار من أي مكان للصفحة المستهدفة، ومن ثم يتم تشغيل الكود مما يؤدي إلى تنفيذ الآتي:ـ
Remote Code Execution على السيرفر الخاص بالشركة.
Remote Code Execution ناحية المستخدم Client Side، بالإضافة إلى إمكانية تنفيذ نوع أخر من الهجوم والمعروف بـ (XSS).
كما يمكن سرقة أو التلاعب بالبيانات الخاصة بالعملاء عن طريق Phishing Attack، وصولاً إلى سرقة حسابات العملاء والتي يوجد بها التفاصيل الخاصة ببطاقات الدفع الإلكترونية.
أما بالنسبة للـ CSRF أو Cross-Site Request Forgery، وهي طريقة تستعمل لمهاجمة موقع ما ويستغلها المهاجم ليظهر كمستخدم شرعي. وكل ما يحتاج المهاجمون للقيام به هو الحصول على متصفح ومن ثم عمل request للموقع، ومن ثم يتحتم عليهم:ـ
* إقناع المستخدمين بالضغط على صفحة HTML معدة مسبقاً من قبل المهاجمين.
* حقن كود HTML في الموقع المستهدف.
وفي هذه الحالة، فإن المهاجم يمكنه استخدام الـ CSRF لخداع الضحية من أجل الضغط على رابط معين والذي سيقوم تلقائياً بتغيير المعلومات الخاصة بالحساب بالإضافة إلى كلمة المرور.
وهذا يمكن المهاجم من سرقة حسابات المستخدمين، حذفها، تغيير العناوين البريدية الخاصة بهم.
وقام Fouad بتقديم مقطع فيديو يشرح فيه عملية الهجوم:ـ
وقام Fouda بإبلاغ StarBucks مرتين إلا أنه لم يتلقى أي ردود حتى الآن.
وقام إيضاً بإبلاغ US-CERT، والتي بدورها تحققت من وجود الثغرة وأنه بالفعل تم إصلاحها من قبل فريق StarBucks منذ ما يقرب من عشرة أيام.
وحتى الآن ينتظر Fouad رداً من الشركة بجانب المكافأة، وجدير بالذكر أن الشركة كانت قد بدأت برنامج المكافآت الخاص بها منذ شهرين فقط.
