ハッカーがスターバックスのモバイル顧客からリンクされたクレジットカードを使って金を盗む
テイラー・ソパー著
同社のモバイル決済サービスを利用する1,600万人のスターバックスの顧客は、ログイン認証情報を強化し、自動ロード機能の使用を再検討する必要があるかもしれない。
独立ジャーナリストでベストセラー作家のボブ・サリバン氏は月曜日、ハッカーが最近、スターバックスのアプリを通じて顧客のクレジットカード情報にアクセスし、自動チャージ機能を利用して複数のスターバックスの顧客から金を盗んだと報じた。
サリバン氏は、先週スターバックスで客の口座から34.77ドルが盗まれた事件について説明した。口座には自動チャージされた後にさらに25ドルが盗まれ、さらにハッカーが自動チャージ額を変更したために75ドルが盗まれた。これらはすべて10分以内に発生した。
サリバン氏は、過去1ヶ月以内にスターバックスのアカウントがハッキングされた他の3人の顧客を挙げています。このRedditのスレッドには、同様の問題を抱えたハッカーが数人投稿されています。中には、盗んだアカウントを使ってギフトカードを自分にメールで送信したハッカーもいました。
「基本的に、Starbucks.com のユーザー名とパスワードの認証情報を入手した犯罪者は、消費者の貯蓄残高を使い果たし、リンクされたクレジットカードを攻撃することができます」とサリバン氏は指摘した。
サリバン氏はさらに、スターバックス カードにアクセスしたハッカーは、送金確認コードに使われる被害者の電子メール アドレスを変更することで、自分の管理するカードやアカウントに残高を移動できると付け加えた。
「この犯罪は非常に単純で、急速に拡大する可能性があり、取引を管理する消費者保護が不明確であるため、スターバックスを利用するすべての消費者は、スターバックスのモバイル決済とギフトカードの自動リロードを直ちに無効にすることを推奨します」とサリバン氏は書いている。
スターバックスの広報担当マギー・ジャンツェン氏はGeekWireに対し、最近のこうした事件は「広範囲に及ぶものではない」とし、「顧客の安全は当社にとって極めて重要だ」と述べた。
「当社は不正行為を常に監視する安全策を講じており、すべての大手小売業者と同様に、顧客が確実に保護されるよう金融機関と緊密に連携しています」と彼女は述べた。
ジャンツェン氏はまた、スターバックスは顧客に対し、強力なパスワードなど「いくつかのベストプラクティスを活用して、情報を可能な限り保護するよう」奨励していると述べた。
「お客様は、ご自身が行っていない請求や送金について責任を負うことはありません。また、お客様のカードが登録されている場合、口座残高は保護されます」と彼女は付け加えました。「お客様の口座で不正な取引が見つかった場合は、直ちに当社までご連絡ください。」
ハッカーがスターバックスの自動チャージ機能を悪用したのは今回が初めてではなく、顧客は2013年に遡って同様の問題に気づいていた。
スターバックスはここ数年、モバイル決済に重点を置いており、CEOのハワード・シュルツ氏は昨年末、米国での売り上げの16%がスマートフォン経由だったと指摘した。
スターバックスも先月、米国とカナダの店舗で大規模なPOSコンピュータ障害に見舞われた。
