Reconocen vulnerabilidades RFI y CSRF en el sitio de Starbucks

Mohamed M. Fouad, un investigador independiente de Egipto, descubrió dos vulnerabilidades en el sitio de Starbucks que dejaban potencialmente expuesta la información personal y bancaria de sus millones de usuarios.

Seg√ļn su an√°lisis, la explotaci√≥n permit√≠a a atacantes forzar a las v√≠ctimas a cambiar sus contrase√Īas, a√Īadir direcciones de correo alternativas, cambiar ajustes o robarles tarjetas de cr√©dito asociadas a las cuentas. Adem√°s de lanzar campa√Īas de phishing, los atacantes pod√≠an lograr la ejecuci√≥n remota de c√≥digo en los servidores de Starbucks.

Luego de que saliera a la luz el problema de las tarjetas de consumo asociadas a cuentas bancarias que se usaban para robar dinero, la compa√Ī√≠a anunci√≥ un programa de recompensas. Fue entonces cuando Mohamed M. Fouad puso manos a la obra y encontr√≥ las siguientes vulnerabilidades:

Reconocen vulnerabilidades RFI y CSRF en el sitio de Starbucks

1. Vulnerabilidad de Inclusión Remota de Archivos (Remote File Inclusion O RFI)

Permite inyectar un archivo desde cualquier ubicación en la página atacada e incluirlo como código fuente. Explotando esta vulnerabilidad, Fouad pudo ejecutar código en el servidor del sitio de Starbucks, ejecutar código como JavaScript en el lado del cliente, lo que puede permitir otros ataques como Cross-Site Scripting (XSS), y finalmente robar y manipular datos a través de ataques de phishing.

Con ellos, era posible robar información de las cuentas de los usuarios registrados, incluyendo sus órdenes de pago y datos de tarjeta de crédito.

2. Vulnerabilidad Cross Site Request Forgery (CSRF)

Aprovech√°ndose de ella, un atacante podr√≠a enviar un enlace malicioso para forzar a la v√≠ctima a cambiar informaci√≥n de la cuenta, como su contrase√Īa. As√≠, podr√≠a tomarse el control del perfil y acceder a los datos bancarios asociados.

Una vulnerabilidad CSRF consiste en una falsificaci√≥n de petici√≥n en sitios cruzados, es decir, un ataque que fuerza al navegador web de su v√≠ctima, validado en alg√ļn servicio (como por ejemplo correo o home banking, aunque en este caso es Starbucks) a enviar una petici√≥n a una aplicaci√≥n web vulnerable.

Como prueba de concepto, Fouad publicó un video explicando su descubrimiento. El 29 de junio lo reportó a Starbucks, pero todavía no recibió respuesta.

Sin embargo, el US-CERT sí contestó obrando de intermediario, confirmando ambas vulnerabilidades y pidiéndole que esperara noticias de Starbucks en relación al pago de su recompensa.

Fuente:http://www.welivesecurity.com/