La cadena internacional de café Starbucks ha admitido que la aplicación para iPhones que permite a sus clientes pagar en sus tiendas con sus teléfonos almacena la información de los usuarios en forma textual sin ningún tipo de codificación. Esta falla de seguridad pone los datos de sus usuarios en alto riesgo de explotación por parte de los cibercriminales.
La Starbucks iOS app, la aplicación de pagos por teléfono móvil más usada en los Estados Unidos, ha estado almacenando los nombres de usuario, direcciones de correo electrónico, contraseñas y ubicación (latitud y longitud) de los usuarios en formato de texto simple. Esta vulnerabilidad hace que cualquier persona que conecte el teléfono a un ordenador pueda tener acceso a esta información sin necesidad de realizar complejos ataques o intrusiones a la aplicación y, además, pueda leerla a simple vista sin necesidad de decodificarla.
Los ejecutivos de Starbucks ya eran conscientes de esta falla de seguridad, pero al parecer no es una prioridad para la empresa solucionarla. “Estábamos al tanto, no es ninguna novedad para nosotros”, dijo Curt Garner, el Director ejecutivo de Starbucks, en una entrevista telefónica con Computerworld.
Algunos expertos creen que el desinterés por solucionar este problema se debe a que se pondría en juego la facilidad de uso de su aplicación, que por ahora sólo exige al usuario que escriba su contraseña cuando va a cargar dinero a su cuenta.
“Una compañía como Starbucks debe escoger entre la facilidad de uso para atraer usuarios y el peligro de explotación y fraude”, opinó Charlie Wiggs, vicepresidente de la empresa estadounidense de teléfonos móviles Mozido. “Starbucks optó por hacer que su aplicación sea cómoda. Sólo debe asegurarse de que la comodidad no deje sobreexpuestos a sus consumidores y su marca”.
Los portavoces de Starbucks aseguraron que se están tomando “medidas de seguridad adicionales” para proteger a sus clientes.
Fuentes:
Starbucks admits its iPhone app stores unencrypted user passwords The Verge
Evan Schuman: Starbucks caught storing mobile passwords in clear text Computerworld
Starbucks Stored iOS App Passwords And Location Data In Clear Text, Leaving Apple iPhone App Users Vulnerable IBTimes
Aplicación de Starbucks almacena las contraseñas en texto legible