News

Aplicación de Starbucks almacena las contraseñas en texto legible

La cadena internacional de café Starbucks ha admitido que la aplicación para iPhones que permite a sus clientes pagar en sus tiendas con sus teléfonos almacena la información de los usuarios en forma textual sin ningún tipo de codificación. Esta falla de seguridad pone los datos de sus usuarios en alto riesgo de explotación por parte de los cibercriminales.

La Starbucks iOS app, la aplicación de pagos por teléfono móvil más usada en los Estados Unidos, ha estado almacenando los nombres de usuario, direcciones de correo electrónico, contraseñas y ubicación (latitud y longitud) de los usuarios en formato de texto simple. Esta vulnerabilidad hace que cualquier persona que conecte el teléfono a un ordenador pueda tener acceso a esta información sin necesidad de realizar complejos ataques o intrusiones a la aplicación y, además, pueda leerla a simple vista sin necesidad de decodificarla.

Los ejecutivos de Starbucks ya eran conscientes de esta falla de seguridad, pero al parecer no es una prioridad para la empresa solucionarla. “Estábamos al tanto, no es ninguna novedad para nosotros”, dijo Curt Garner, el Director ejecutivo de Starbucks, en una entrevista telefónica con Computerworld.

Algunos expertos creen que el desinterés por solucionar este problema se debe a que se pondría en juego la facilidad de uso de su aplicación, que por ahora sólo exige al usuario que escriba su contraseña cuando va a cargar dinero a su cuenta.

“Una compañía como Starbucks debe escoger entre la facilidad de uso para atraer usuarios y el peligro de explotación y fraude”, opinó Charlie Wiggs, vicepresidente de la empresa estadounidense de teléfonos móviles Mozido. “Starbucks optó por hacer que su aplicación sea cómoda. Sólo debe asegurarse de que la comodidad no deje sobreexpuestos a sus consumidores y su marca”.

Los portavoces de Starbucks aseguraron que se están tomando “medidas de seguridad adicionales” para proteger a sus clientes.

Fuentes:

Starbucks admits its iPhone app stores unencrypted user passwords The Verge
Evan Schuman: Starbucks caught storing mobile passwords in clear text Computerworld
Starbucks Stored iOS App Passwords And Location Data In Clear Text, Leaving Apple iPhone App Users Vulnerable IBTimes

Aplicación de Starbucks almacena las contraseñas en texto legible

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada