comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Reconocen vulnerabilidades RFI y CSRF en el sitio de Starbucks

  • 0 Respuestas
  • 1112 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado graphixx

  • *
  • Moderador
  • Mensajes: 1288
  • Actividad:
    28.33%
  • Reputación 18
  • Científico de BIG DATA
    • Ver Perfil
    • Sistemas y Controles
« en: Septiembre 25, 2015, 08:47:10 pm »


Mohamed M. Fouad, un investigador independiente de Egipto, descubrió dos vulnerabilidades en el sitio de Starbucks que dejaban potencialmente expuesta la información personal y bancaria de sus millones de usuarios.

Según su análisis, la explotación permitía a atacantes forzar a las víctimas a cambiar sus contraseñas, añadir direcciones de correo alternativas, cambiar ajustes o robarles tarjetas de crédito asociadas a las cuentas. Además de lanzar campañas de phishing, los atacantes podían lograr la ejecución remota de código en los servidores de Starbucks.

Luego de que saliera a la luz el problema de las tarjetas de consumo asociadas a cuentas bancarias que se usaban para robar dinero, la compañía anunció un programa de recompensas. Fue entonces cuando Mohamed M. Fouad puso manos a la obra y encontró las siguientes vulnerabilidades:

1. Vulnerabilidad de Inclusión Remota de Archivos (Remote File Inclusion O RFI)

Permite inyectar un archivo desde cualquier ubicación en la página atacada e incluirlo como código fuente. Explotando esta vulnerabilidad, Fouad pudo ejecutar código en el servidor del sitio de Starbucks, ejecutar código como JavaScript en el lado del cliente, lo que puede permitir otros ataques como Cross-Site Scripting (XSS), y finalmente robar y manipular datos a través de ataques de phishing.

Con ellos, era posible robar información de las cuentas de los usuarios registrados, incluyendo sus órdenes de pago y datos de tarjeta de crédito.

2. Vulnerabilidad Cross Site Request Forgery (CSRF)

Aprovechándose de ella, un atacante podría enviar un enlace malicioso para forzar a la víctima a cambiar información de la cuenta, como su contraseña. Así, podría tomarse el control del perfil y acceder a los datos bancarios asociados.

Una vulnerabilidad CSRF consiste en una falsificación de petición en sitios cruzados, es decir, un ataque que fuerza al navegador web de su víctima, validado en algún servicio (como por ejemplo correo o home banking, aunque en este caso es Starbucks) a enviar una petición a una aplicación web vulnerable.

Como prueba de concepto, Fouad publicó un video explicando su descubrimiento. El 29 de junio lo reportó a Starbucks, pero todavía no recibió respuesta.

Sin embargo, el US-CERT sí contestó obrando de intermediario, confirmando ambas vulnerabilidades y pidiéndole que esperara noticias de Starbucks en relación al pago de su recompensa.

Fuente:noticiasseguridad.com
« Última modificación: Septiembre 25, 2015, 09:43:53 pm por Gabriela »
No tienes permisos para ver links. Registrate o Entra con tu cuenta

 

¿Te gustó el post? COMPARTILO!



Ahora que Intel parchea Spectre y Meltdown, aparecen nuevas vulnerabilidades

Iniciado por graphixx

Respuestas: 0
Vistas: 828
Último mensaje Marzo 05, 2018, 07:08:04 pm
por graphixx
Google hace públicas varias vulnerabilidades DNS y DHCP en Dnsmasq

Iniciado por Andrey

Respuestas: 0
Vistas: 617
Último mensaje Octubre 09, 2017, 11:19:38 pm
por Andrey
La NSA dice haber avisado del 91% de vulnerabilidades informáticas encontradas

Iniciado por DaRK UnLiMiTeD

Respuestas: 0
Vistas: 1203
Último mensaje Noviembre 09, 2015, 12:30:53 pm
por DaRK UnLiMiTeD
Hackers descubren vulnerabilidades en el Automóvil Telsa Model S

Iniciado por Mayk0

Respuestas: 0
Vistas: 750
Último mensaje Agosto 10, 2015, 02:49:20 pm
por Mayk0
Ocho vulnerabilidades de denegación de servicio en Cisco IOS

Iniciado por MYokai

Respuestas: 0
Vistas: 831
Último mensaje Octubre 15, 2014, 02:51:37 pm
por MYokai