bitcoin

Forscher, der funde, tests und berichte findet starbucks gift card bug wird geprellt

bitcoin Forscher, der funde, tests und berichte findet starbucks gift card bug wird geprellt

1600 Pennsylvania Avenue / Colloquy 4: The Joe Miller Joke Book / Report on the We-Uns (Oktober 2018).

Anonim

Ein Sicherheitsforscher namens Egor Hamakov, Als Teil des Sicherheitsberatungsunternehmens Sakurity wurde auf der Starbucks-Website eine Schwäche entdeckt, die als Race Condition bezeichnet wird und für die Überprüfung von Guthaben und die Übertragung von Verbrauchergeldern an Starbucks-Geschenkkarten zuständig ist. Um den Exploit mit einem "Live-Test" zu testen, kaufte Hamakov drei $ 5-Geschenkkarten und übertrug das Guthaben von Karte A zweimal auf Karte B, was zu einem Gesamtguthaben von $ 20 (statt des Startguthabens von $ 15) und einem Nettogewinn (durch ausnutzen) von 5 $. Theoretisch könnte dieser Exploit dazu verwendet werden, unbegrenzte Geldbeträge zu generieren.

Lesen Sie auch: Benutzerdaten, einschließlich Full Bitcoin Wallet Access, Abrufen aus Secondhand Android-Handys

Hamakov

besucht ein San Francisco Starbucks, um den Exploit zu testen und sicherzustellen, dass die Karten tatsächlich 20 $ gehalten. Hamakov verwendete seine zwei Geschenkkarten, um $ 16 zu machen. 70 kaufen. Nachdem er den ausgenutzten Kauf getätigt hatte, lud er den Geschenkgutschein mit zusätzlichen $ 10 ein, um sicherzustellen, dass das US-Justizsystem uns nicht über $ 1 ins Gefängnis bringt. 70, schrieb Hamakov in einem Blogbeitrag. Bei der Deckung des Kaufs testete Hamakov nicht nur, dass der Exploit funktionieren würde, sondern starb Starbucks die Gelder, mit denen der Exploit getestet wurde, mit guten Absichten. Nachdem Hamakov Starbucks den Fehler gemeldet hatte, wurde er belästigt und nicht bedankt. Hamakov schrieb:

Der schwierigste Teil - verantwortliche Offenlegung. Support-Typ antwortete ehrlich, es gibt absolut keine Möglichkeit, mit der technischen Abteilung in Kontakt zu kommen und es tut mir leid, dass ich so fühle. Emailing am 23. März [email-geschützt] war zwecklos (und es wurde nur am 29. April beantwortet). Nachdem ich wirklich versucht habe, jemanden zu finden, der mich interessiert, habe ich es geschafft, diesen Fehler innerhalb von 10 Tagen zu beheben.

Der unangenehme Teil ist, dass ein Typ von Starbucks mich nicht mit "Danke" anruft, sondern stattdessen "Betrug" und "böswillige Aktionen" erwähnt. Süss!

Hamakov hatte einen früheren Anruf mit einem Starbucks-Beamten, der eine $ 1, 000 Bug Bounty Belohnung versprach, aber jetzt wurde er eher gedroht als bedankt. Die Dinge hätten von beiden Seiten besser gehandhabt werden können. Starbucks hätte das kostenlose Sicherheitsaudit begrüßen können, und Hamakov hätte es ohne Tests melden können, um zu sehen, ob der Exploit funktioniert hat. Als professioneller Cracker wusste Hamakov besser, als auf das Computernetzwerk oder Accounts von jemandem ohne explizite Erlaubnis zuzugreifen. Hamakov war nicht berechtigt, den betrügerischen Kauf zu tätigen, hat Starbucks ihn nie gefragt. Er hätte wahrscheinlich die $ 1, 000 Bug Bounty bezahlt, hätte er gerade die Sicherheitslücke gemeldet, anstatt es selbst zu versuchen, das System ohne die direkte Erlaubnis von Starbucks zu testen. Dennoch sammelte Hamakov Unterstützer auf Twitter, die ihm bei der Verteidigung seiner Aktionen zu Hilfe kamen.

Diese Situation hätte von beiden Seiten besser behandelt werden können, Hamakov hätte den Fehler melden können, ohne ihn selbst zu testen, und Starbucks hätte eher dankbar sein können, als Hamakov zu bedrohen, da er Starbucks die betrügerischen Gewinne auf seinem Konto erstattet hatte Geschenkkarten.

Starbucks hat die folgende Erklärung veröffentlicht:

Wie alle größeren Einzelhändler verfügt Starbucks über Sicherheitsvorkehrungen, die ständig auf betrügerische Aktivitäten überwachen. Nachdem diese Person berichtet hatte, dass er betrügerische Aktivitäten gegen Starbucks durchführen konnte, haben wir Sicherheitsvorkehrungen getroffen, um die Replikation zu verhindern.

Obwohl wir nicht in der Lage sind, auf einzelne Kontakte einzugehen, haben wir starke Erfolge bei der Zusammenarbeit mit der Forschungsgemeinschaft gemacht und werden weiterhin Engagements begrüßen.

Aktuelle Zahlungssysteme, insbesondere Geschenkkartensysteme, hatten viele Fehler, die Exploits oder unerlaubte Gewinne ermöglichen. Während Starbucks nicht direkt Bitcoin akzeptiert, kann Fold verwendet werden, um Starbucks mit Kryptowährung zu kaufen, falls Sie die Geschenkkarten abwerfen möchten, die Ihre physische Brieftasche auffüllen.

Die Konsolidierung von physischen Geschenkkarten in eine elektronische Geschenkkarte wird wahrscheinlich eine Verschiebung sein, die wir in den kommenden Jahren sehen werden. Geschenkkarten sind jedoch immer noch eines der begabtesten Geschenke, vor allem, da sie im Grunde genommen Zeichen darstellen ( innerhalb der Preisspanne), dass wir sie wollen, und sie machen ein perfektes Last-Minute-Geschenk. Gyft und Egifter haben bereits Schritte unternommen, um den Prozess der E-Geschenkkarten zu verbessern, und sie bieten einen Bonus auf Käufe von Kryptowährungen.


Was denkst du über Hamakovs Bericht über den Starbucks Giftcard Bug? Kommentiere unten!

Beliebte Beiträge