Слишком дорогой кофе: хакеры взломали платежное приложение Starbucks

Понедельник, 18 мая 2015 г.

Следите за нами в ВКонтакте, Телеграм'e и Twitter'e

Хакеры взломали десятки аккаунтов пользователей «кофейного» мобильного приложения и украли деньги не только с них, но и с прикрепленных к ним банковских карт. Компания не отказывается возместить ущерб, но говорит, что во всем виноваты слабые пароли.

В Starbucks официально признали, что фирменное мобильное приложение было использовано злоумышленниками для кражи денег у клиентов. При этом оно не было взломано, настаивают в компании. Под удар попало не только само приложение, но и подарочные карты, баланс которых можно пополнять через Starbucks app. Первым о серии инцидентов написал в своем блоге технологический эксперт Боб Салливан (Bob Sullivan).

«Мы берем на себя обязательства по защите данных наших клиентов и гарантируем, что будем пресекать любую мошенническую деятельность. Безопасность клиентов крайне важна для нас, и мы серьезно относимся к этим проблемам», — прокомментировали ситуацию в пресс-службе компании. Приложение не было взломано, а виной тому, что злоумышленники получили доступ к пользовательским аккаунтам — слабые пароли, отметили представители Starbucks в комментарии CNNMoney. В Starbucks пообещали возместить суммы, «уведенные» злоумышленниками со счетов пользователей.

Мобильное приложение — это не только часть программ клиентской лояльности: каждый раз, когда клиент делает выбор в пользу оплаты через мобильное приложение, а не с помощью пластиковой карты, Starbucks экономит на стоимости межбанковских транзакций. В 2014 г. Starbucks обработал через мобильные устройства платежи на сумму $2 млрд, из которых как минимум 16%, то есть каждый шестой платеж, «пришел» из собственного мобильного приложения на смартфоне. На сегодняшний день приложение установлено на мобильные устройства более 16 млн пользователей в Соединенных Штатах.

Механизм действий злоумышленников прост: им удалось взломать аккаунты пользователей в приложении, опустошить баланс прикрепленных подарочных кофейных карт, а потом, используя функцию автоматического пополнения баланса, получить доступ к дебетовым и кредитным картам пользователя.

«Если бы Starbucks зашили в свое приложение двухфакторную систему аутентификации и пользователям бы понадобилось вводить дополнительный код для того, чтобы, например, изменить настройки автоматического пополнения мобильного кошелька, это бы могло очень помочь», — уверен со-основатель обеспечивающего защиту персональных данных мобильных пользователей стартапа Lookout и автор колонки для VentureBeat Кевин Махаффи (Kevin Mahaffey).

Мошенничество уходит из банковского сектора в e-commerce, а киберпреступники учатся наживаться на бонусных программах, и в этом смысле инцидент с Starbucks показателен, считают эксперты. «Эта схема — новый тренд в онлайн-мошенничестве, — уверена аналитик по безопасности компании Gartner Авива Литан (Avivah Litan). — Нацеленные на получение доступа к банковским картам хакеры теперь атакуют сторонние организации, создающие альтернативные платежные системы, потому что взломать их зачастую оказывается легче, чем финансовые организации».

Покушение хакеров на неприкосновенность средств пользователей мобильного приложения Starbucks — не первая жалоба, связанная с кофейным гигантом. Ранее сообщалось о том, что компания хранила пароли пользователей и их контактную информацию в незашифрованном, то есть текстовом виде. Тогда оплошность удалось оперативно исправить. Близкий к Starbucks эксперт по безопасности, попросивший остаться неназванным в комментарии CNBC, сообщил, что компания сейчас испытывает трудности, связанные с атакой на сайт методом перебора паролей. Как и в истории с кражей средств через мобильное приложение, Starbucks склонен винить в этом пользователей, многие из которых используют один и тот же пароль на нескольких крупных сайтах и тем самым оставляют лазейку для злоумышленников, занимающихся фишингом.

Следите за нами в ВКонтакте, Телеграм'e и Twitter'e


Просмотров: 416
Рубрика: Hi-Tech


Архив новостей / Экспорт новостей

Ещё новости по теме:

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Архивы новостей за: 2018, 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003