Noticias

Aplicación de Starbucks almacena las contraseñas en texto legible

La cadena internacional de café Starbucks ha admitido que la aplicación para iPhones que permite a sus clientes pagar en sus tiendas con sus teléfonos almacena la información de los usuarios en forma textual sin ningún tipo de codificación. Esta falla de seguridad pone los datos de sus usuarios en alto riesgo de explotación por parte de los cibercriminales.

La Starbucks iOS app, la aplicación de pagos por teléfono móvil más usada en los Estados Unidos, ha estado almacenando los nombres de usuario, direcciones de correo electrónico, contraseñas y ubicación (latitud y longitud) de los usuarios en formato de texto simple. Esta vulnerabilidad hace que cualquier persona que conecte el teléfono a un ordenador pueda tener acceso a esta información sin necesidad de realizar complejos ataques o intrusiones a la aplicación y, además, pueda leerla a simple vista sin necesidad de decodificarla.

Los ejecutivos de Starbucks ya eran conscientes de esta falla de seguridad, pero al parecer no es una prioridad para la empresa solucionarla. “Estábamos al tanto, no es ninguna novedad para nosotros”, dijo Curt Garner, el Director ejecutivo de Starbucks, en una entrevista telefónica con Computerworld.

Algunos expertos creen que el desinterés por solucionar este problema se debe a que se pondría en juego la facilidad de uso de su aplicación, que por ahora sólo exige al usuario que escriba su contraseña cuando va a cargar dinero a su cuenta.

“Una compañía como Starbucks debe escoger entre la facilidad de uso para atraer usuarios y el peligro de explotación y fraude”, opinó Charlie Wiggs, vicepresidente de la empresa estadounidense de teléfonos móviles Mozido. “Starbucks optó por hacer que su aplicación sea cómoda. Sólo debe asegurarse de que la comodidad no deje sobreexpuestos a sus consumidores y su marca”.

Los portavoces de Starbucks aseguraron que se están tomando “medidas de seguridad adicionales” para proteger a sus clientes.

Fuentes:

Starbucks admits its iPhone app stores unencrypted user passwords The Verge
Evan Schuman: Starbucks caught storing mobile passwords in clear text Computerworld
Starbucks Stored iOS App Passwords And Location Data In Clear Text, Leaving Apple iPhone App Users Vulnerable IBTimes

Aplicación de Starbucks almacena las contraseñas en texto legible

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada