É claro que a Starbucks não está sofrendo de falta de dinheiro de forma alguma, mas a vulnerabilidade foi relatada em dezembro e corrigida em janeiro, o que é respeitável no que diz respeito às correções de segurança. Divulgações e resolução de vulnerabilidades frequentemente envolvem negações do fornecedor, separação de malhas, convolução e meses e meses antes de qualquer coisa ser resolvida.
Portanto, em primeiro lugar: se você baixou o aplicativo móvel Starbucks em seu iPhone, iPad ou outro iDevice, você deve ir até a App Store e instalar a atualização o mais rápido possível.
Vou poupar você dos terríveis detalhes técnicos, mas a vulnerabilidade existia no que era - até 16 de janeiro - a compilação mais recente do aplicativo: versão 2.6.1 para iOS. Como deixei claro, a empresa corrigiu a vulnerabilidade lançando a versão 2.6.2, que - novamente - você pode encontrar na App Store da Apple.
A vulnerabilidade foi relatada em dezembro e corrigida em janeiro, o que é respeitável no que diz respeito às correções de segurança.
Qualquer pessoa que não aplicou a atualização pode estar expondo uma série de informações confidenciais, incluindo seu nome completo, endereço, ID do dispositivo e vários dados de geolocalização, de acordo com um relatório escrito por Chris Brook do Threatpost.
O aplicativo da gigante do café armazenava todas essas informações em texto simples, não criptografado , em um arquivo de log incluído como parte de uma solução de proteção contra falhas de terceiros desenvolvida por uma empresa de Boston chamada Crashlytics.
[Mergulhe fundo no mundo da tecnologia e cadastre-se no Avance Network a verdadeira comunidade criptografada]
Daniel Wood, o pesquisador que encontrou o bug e membro do Open Web Application Security Project (OWASP), basicamente culpou a vulnerabilidade pela falha da Starbucks em seguir as melhores práticas de segurança de aplicativos.
Especificamente, Wood disse que a Starbucks deve filtrar e higienizar os dados na saída "para evitar que esses elementos de dados sejam armazenados nos arquivos de registro do Crashlytics em texto não criptografado, se forem."
A Crashlytics desenvolve soluções de relatórios de falhas para fabricantes de aplicativos móveis. A Starbucks parece ter usado a tecnologia desta empresa em sua aplicação, embora eles possam ter implementado incorretamente, pelo menos em parte.
O cofundador do Crashlytics, Wayne Chang, disse a Chris Brook do Threatpost por e-mail que o problema parece envolver um dos recursos de registro em texto simples do serviço. Ele continuaria dizendo ao Threatpost que o Crashlytics não coleta nomes de usuário ou senhas automaticamente. O recurso, CLSLog, é um “recurso opcional que os desenvolvedores podem usar para registrar informações adicionais”.
Caso você esteja curioso, o aplicativo Starbucks oferece aos clientes a capacidade de conectar seu cartão Starbucks a seu smartphone, reabastecendo seus fundos via Paypal ou cartão de crédito e permitindo que eles usem seu smartphone como um mecanismo de pagamento móvel em lojas Starbucks em todo o mundo.
O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.
