Home
Hãy coi chừng những người yêu thích cà phê! StarBucks cho bạn thấy 3 lỗ hổng nghiêm trọng

Hãy coi chừng những người yêu thích cà phê! StarBucks cho bạn thấy 3 lỗ hổng nghiêm trọng

Tháng Tư 7, 2023 Lỗ Hổng Không có phản hồi

18 Tháng chín 2015Swati Khandelwal

Hãy coi chừng những người yêu thích cà phê! StarBucks tiết lộ cho bạn 3 sai sót nghiêm trọng

Bạn đã từng đăng ký trên trang web StarBucks chưa? Thay đổi mật khẩu của bạn bây giờ!

Nếu bạn là một trong Hàng triệu khách hàng của Starbucks đã đăng ký tài khoản và chi tiết thẻ tín dụng của họ trên trang web StarBucks, thì chi tiết ngân hàng của bạn rất dễ bị tin tặc tấn công.

Các lỗ hổng bao gồm:

  • Thực thi mã từ xa
  • Bao gồm tập tin từ xa dẫn đến các cuộc tấn công lừa đảo
  • CSRF (Giả mạo yêu cầu trang web chéo)

Ăn cắp chi tiết thẻ tín dụng

Trong trường hợp Bao gồm tập tin từ xa lỗ hổng, kẻ tấn công có thể đưa tệp từ bất kỳ vị trí nào vào trang đích, bao gồm mã nguồn để phân tích cú pháp và thực thi, cho phép kẻ tấn công thực hiện:

  • Thực thi mã từ xa trên máy chủ của công ty
  • Thực thi mã từ xa ở phía máy khách, có khả năng cho phép kẻ tấn công thực hiện các cuộc tấn công khác như Tập lệnh chéo trang (XSS)
  • Trộm cắp dữ liệu hoặc thao túng dữ liệu thông qua Tấn công lừa đảo trong nỗ lực chiếm đoạt tài khoản của khách hàng có chứa chi tiết thẻ tín dụng

Chiếm tài khoản cửa hàng Starbucks bằng CSRF

CSRF hoặc Giả mạo yêu cầu trên nhiều trang web là một phương pháp tấn công một trang web trong đó kẻ xâm nhập giả dạng người dùng hợp pháp. Tất cả những gì kẻ tấn công cần làm là yêu cầu trình duyệt mục tiêu thay mặt chúng đưa ra yêu cầu tới trang web, nếu chúng có thể:

  • Thuyết phục người dùng nhấp vào trang HTML của họ
  • Chèn HTML tùy ý vào trang đích

Trong trường hợp này, kẻ tấn công có thể sử dụng CSRF để lừa nạn nhân nhấp vào URL làm thay đổi thông tin tài khoản cửa hàng của người dùng bao gồm cả mật khẩu tài khoản.

Điều này có thể cho phép kẻ tấn công chiếm đoạt tài khoản của nạn nhân, xóa tài khoản hoặc thay đổi địa chỉ email của nạn nhân.

Trình diễn video

Fouad cũng đã cung cấp một video trình diễn như một Bằng chứng của khái niệm để thể hiện sự tấn công trong công việc. Bạn có thể xem video đưa ra dưới đây:

Theo phong cách mũ trắng, Fouad đã báo cáo những sai sót nghiêm trọng cho StarBucks hai lần nhưng không nhận được bất kỳ phản hồi nào từ đội.

Sau đó, Fouad đã báo cáo các lỗ hổng tương tự cho US-CERT, tổ chức này đã xác nhận các lỗ hổng đã được nhóm StarBucks sửa gần mười ngày trước.

Tuy nhiên, Fouad vẫn đang chờ phản hồi và tiền thưởng lỗi của anh ấy từ nhóm StarBucks, vì công ty đã bắt đầu chương trình tiền thưởng lỗi chỉ hai tháng trước.

Tìm thấy bài viết này thú vị? Theo dõi chúng tôi tại Twitter và LinkedIn để đọc thêm nội dung độc quyền mà chúng tôi đăng.

Related Posts

About The Author

danhvo

Leave a Reply