Слишком дорогой кофе: хакеры взломали платежное приложение Starbucks

Безопасность Пользователю
мобильная версия
Хакеры взломали десятки аккаунтов пользователей «кофейного» мобильного приложения и украли деньги не только с них, но и с прикрепленных к ним банковских карт. Компания не отказывается возместить ущерб, но говорит, что во всем виноваты слабые пароли.

В Starbucks официально признали, что фирменное мобильное приложение было использовано злоумышленниками для кражи денег у клиентов. При этом оно не было взломано, настаивают в компании. Под удар попало не только само приложение, но и подарочные карты, баланс которых можно пополнять через Starbucks app. Первым о серии инцидентов написал в своем блоге технологический эксперт Боб Салливан (Bob Sullivan).

«Мы берем на себя обязательства по защите данных наших клиентов и гарантируем, что будем пресекать любую мошенническую деятельность. Безопасность клиентов крайне важна для нас, и мы серьезно относимся к этим проблемам», — прокомментировали ситуацию в пресс-службе компании. Приложение не было взломано, а виной тому, что злоумышленники получили доступ к пользовательским аккаунтам — слабые пароли, отметили представители Starbucks в комментарии CNNMoney. В Starbucks пообещали возместить суммы, «уведенные» злоумышленниками со счетов пользователей.

Мобильное приложение — это не только часть программ клиентской лояльности: каждый раз, когда клиент делает выбор в пользу оплаты через мобильное приложение, а не с помощью пластиковой карты, Starbucks экономит на стоимости межбанковских транзакций. В 2014 г. Starbucks обработал через мобильные устройства платежи на сумму $2 млрд, из которых как минимум 16%, то есть каждый шестой платеж, «пришел» из собственного мобильного приложения на смартфоне. На сегодняшний день приложение установлено на мобильные устройства более 16 млн пользователей в Соединенных Штатах.

Механизм действий злоумышленников прост: им удалось взломать аккаунты пользователей в приложении, опустошить баланс прикрепленных подарочных кофейных карт, а потом, используя функцию автоматического пополнения баланса, получить доступ к дебетовым и кредитным картам пользователя.

«Если бы Starbucks зашили в свое приложение двухфакторную систему аутентификации и пользователям бы понадобилось вводить дополнительный код для того, чтобы, например, изменить настройки автоматического пополнения мобильного кошелька, это бы могло очень помочь», — уверен со-основатель обеспечивающего защиту персональных данных мобильных пользователей стартапа Lookout и автор колонки для VentureBeat Кевин Махаффи (Kevin Mahaffey).

Мошенничество уходит из банковского сектора в e-commerce, а киберпреступники учатся наживаться на бонусных программах, и в этом смысле инцидент с Starbucks показателен, считают эксперты. «Эта схема — новый тренд в онлайн-мошенничестве, — уверена аналитик по безопасности компании Gartner Авива Литан (Avivah Litan). — Нацеленные на получение доступа к банковским картам хакеры теперь атакуют сторонние организации, создающие альтернативные платежные системы, потому что взломать их зачастую оказывается легче, чем финансовые организации».

Покушение хакеров на неприкосновенность средств пользователей мобильного приложения Starbucks — не первая жалоба, связанная с кофейным гигантом. Ранее сообщалось о том, что компания хранила пароли пользователей и их контактную информацию в незашифрованном, то есть текстовом виде. Тогда оплошность удалось оперативно исправить. Близкий к Starbucks эксперт по безопасности, попросивший остаться неназванным в комментарии CNBC, сообщил, что компания сейчас испытывает трудности, связанные с атакой на сайт методом перебора паролей. Как и в истории с кражей средств через мобильное приложение, Starbucks склонен винить в этом пользователей, многие из которых используют один и тот же пароль на нескольких крупных сайтах и тем самым оставляют лазейку для злоумышленников, занимающихся фишингом.