Mohamed M. Fouad, un investigador independiente de Egipto, descubrió dos vulnerabilidades en el sitio de Starbucks que dejaban potencialmente expuesta la información personal y bancaria de sus millones de usuarios.
Según su análisis, la explotación permitía a atacantes forzar a las víctimas a cambiar sus contraseñas, añadir direcciones de correo alternativas, cambiar ajustes o robarles tarjetas de crédito asociadas a las cuentas. Además de lanzar campañas de phishing, los atacantes podían lograr la ejecución remota de código en los servidores de Starbucks.
Luego de que saliera a la luz el problema de las tarjetas de consumo asociadas a cuentas bancarias que se usaban para robar dinero, la compañía anunció un programa de recompensas. Fue entonces cuando Mohamed M. Fouad puso manos a la obra y encontró las siguientes vulnerabilidades:
1. Vulnerabilidad de Inclusión Remota de Archivos (Remote File Inclusion O RFI)
Permite inyectar un archivo desde cualquier ubicación en la página atacada e incluirlo como código fuente. Explotando esta vulnerabilidad, Fouad pudo ejecutar código en el servidor del sitio de Starbucks, ejecutar código como JavaScript en el lado del cliente, lo que puede permitir otros ataques como Cross-Site Scripting (XSS), y finalmente robar y manipular datos a través de ataques de phishing.
Con ellos, era posible robar información de las cuentas de los usuarios registrados, incluyendo sus órdenes de pago y datos de tarjeta de crédito.
2. Vulnerabilidad Cross Site Request Forgery (CSRF)
Aprovechándose de ella, un atacante podría enviar un enlace malicioso para forzar a la víctima a cambiar información de la cuenta, como su contraseña. Así, podría tomarse el control del perfil y acceder a los datos bancarios asociados.
Una vulnerabilidad CSRF consiste en una falsificación de petición en sitios cruzados, es decir, un ataque que fuerza al navegador web de su víctima, validado en algún servicio (como por ejemplo correo o home banking, aunque en este caso es Starbucks) a enviar una petición a una aplicación web vulnerable.
Como prueba de concepto, Fouad publicó un video explicando su descubrimiento. El 29 de junio lo reportó a Starbucks, pero todavía no recibió respuesta.
Sin embargo, el US-CERT sí contestó obrando de intermediario, confirmando ambas vulnerabilidades y pidiéndole que esperara noticias de Starbucks en relación al pago de su recompensa.