星巴克网站又被黑 还让不让好好喝咖啡了?

来自埃及的独立安全研究员Mohamed M. Fouad近日在星巴克网站上发现了三个严重的漏洞,黑客可以利用该漏洞获得用户账号的权限。

星巴克网站又被黑 还让不让好好喝咖啡了?

这三个漏洞分别是:

远程代码执行、远程文件包含(钓鱼攻击)、CSRF(跨站请求伪造)

漏洞描述:

WEB服务器的远程代码执行:在客户端存在远程代码执行,黑客可以通过执行如XSS等攻击进行数据窃取和操作,如用户在星巴克网站存储的信用卡信息等。

远程文件包含:黑客可以将任意地址的文件注入到目标页面,其中包含源代码解析执行等攻击。

使用CSRF劫持星巴克账户:黑客可以利用CSRF跨站请求伪造攻击,让一个合法用户代他们发起攻击行为,比如说服人们点击他们的HTML页面、往目标站点插入任意HTML页面等。攻击者通过用CSRF诱骗用户点击URL,更改存储的账户信息和密码,以达到劫持受害者的账户、删除帐户,或者改变受害者绑定的邮件地址等目的。

所以,如果你在星巴克网站注册过会员,建议您赶紧修改密码,以免给自己带来损失。

可能有人认为,黑客只会去黑一黑某政府、某电商、某售票平台、某色情网址之类的东西,这可就大错特错了。据了解,星巴克已经不是第一次“招黑”了。

在今年5月,星巴克官方承认了星巴克App被黑事实,黑客侵入受害者的线上星巴克账户,通过添加并购买礼品卡将用户的钱偷走。而星巴克网站也拥有数百万注册用户,他们在账户填写了自己的信用卡信息,而新发现的漏洞可能导致这些信息的泄露。

不过,Mohamed也表示星巴克团队在十几天前已经修复了漏洞。可笑的是,他曾将漏洞报告两度发给星巴克,但没有得到任何回应。后来,Mohamed将漏洞报告给了US-CERT,星巴克团队才修复了它。但重点在于,星巴克是有漏洞奖金计划的,不知道我们辛勤的白帽子Mohamed同学有没有拿到漏洞奖金呢?

不过好在漏洞被及时发现并修复,不然造成的后果不堪设想。

小知识之钓鱼攻击

钓鱼式攻击是一种企图从电子通讯中,通过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。这些通信都声称(自己)来自社交网站拍卖网站\网络银行、电子支付网站\或网络管理者,以此来诱骗受害人的轻信。网钓通常是通过e-mail或者即时通讯进行。它常常导引用户到URL与界面外观与真正网站几无二致的假冒网站输入个人数据。就算使用强式加密的SSL服务器认证,要侦测网站是否仿冒实际上仍很困难。