Уязвимость на сайте Starbucks могла принести ИБ-эксперту миллионы долларов

image

Теги: уязвимость, Starbucks, хищение средств

Брешь достаточно распространена среди сайтов с балансом, ваучерами или другими ограниченными ресурсами.

ИБ-специалист из аналитической фирмы Sakurity Егор Хомаков обнаружил способ, как генерировать неограниченное количество денег на подарочной карте Starbucks для того, чтобы получить пожизненный запас кофе или украсть пару миллионов долларов у известной компании.

Для начала эксперт приобрел три подарочные карты по цене в $5. На официальном сайте сети кофеен Starbucks есть личный кабинет, где пользователи могут добавлять подарочные карты, проверять баланс и даже перекидывать деньги с одной подарочной карты на другую.

ИБ-специалист обнаружил, что на starbucks.com существует специфический класс уязвимостей под названием "Состояние гонки" (Race Condition). Брешь достаточно распространена среди сайтов с балансом, ваучерами или другими ограниченными ресурсами, в основном денежными.

Авторизовавшись в своем кабинете в двух разных браузерах, Хомаков использовал два ключа одновременных сессий для выполнения параллельных запросов на перевод одного доллара с одной карты на другую. По словам Хомакова, первые пять попыток были провальными, однако на шестой раз эксперту повезло. Перевод был произведен два раза, и Хомяков получил две карты с $15 и одну с $5. Для того чтобы проверить свой успех, эксперт отправился в ближайший Starbucks и при помощи карт приобрел на $16,70 сэндвичи, воду, карамель и пр.

После покупки Хомаков отправился домой, где сразу же зачислил еще $10 с кредитки на карту Starbucks, чтобы не быть должным компании целых $1,70. Хомаков попытался связаться с технической поддержкой Starbucks, однако эксперту отказали. Специалист отправил письмо в Starbucks еще 23 марта 2015 года, но ему ответили только 29 апреля. И только после того, как Хомаков с помощью своих знакомых нашел небезразличного человека в компании, уязвимость была исправлена в течение 10 дней.

Стоит отметить, что Хомакова не поблагодарили, зато был сделан недвусмысленный намек, что эксперт совершил мошенничество, и Starbucks "еще подумает над тем, что с ним сделать".

Хомаков отреагировал следующим образом: "Я мог запустить ферму из подделанных подарочных карт, купленных в разных магазинах мира, сгенерировать на них кучу денег и продавать на специальных промо-сайтах с 50% скидкой за биткоины. Проработав так год-другой, можно было бы "выкачать" пару миллионов долларов из этой дружелюбной компании".

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.