セキュリティ研究者が脆弱性を悪用し、スターバックスのギフトカードに無料でお金をチャージ
ジェームズ・リズリー著
セキュリティ研究者のエゴール・ホマコフ氏によると、スターバックスのギフトカードシステムに欠陥があり、送金するお金がなくてもユーザーはカード間で送金できてしまうという。
ホマコフ氏はスターバックスのギフトカードを3枚購入し、それぞれに5ドルずつチャージしました。そして、「競合状態」の脆弱性を悪用し、1枚のカードの残高を他の2枚のギフトカードに同時に移すことで、5ドルのチャージを余分に獲得しました。
「残高やバウチャー、その他の限られたリソース(主に現金)を扱うウェブサイトではよくあるバグです」とホマコフ氏はSakurityのブログ投稿に書いている。
彼は15ドルを投資した後、2枚のカードで合計20ドルを手にした。スターバックスで16.70ドル分の商品を購入し、実際にその金額が入金されていることを確認した。彼は購入後、カードに資金をチャージし、「アメリカの司法制度が1.70ドルのせいで私たちを刑務所送りにしないことを保証した」という。
ホマコフ氏は3月下旬にスターバックスにバグを報告しようとしたが、システムのパッチが届くまで10日もかかった。「一番嫌だったのは、スターバックスの担当者が電話をかけてきた時、『ありがとう』という言葉も一切なく、『詐欺』や『悪意のある行為』について言及してきたことです」とホマコフ氏は投稿に記している。
スターバックス は声明で、「他の大手小売業者と同様に、スターバックスは不正行為を常に監視するための安全対策を講じています。この人物がスターバックスに対して不正行為を行う可能性があると報告したことを受け、再発防止のための安全対策を導入しました」と述べています。
このバグは、今月初めに報告された、リワード会員のパスワードを入手したハッカーがカードの自動チャージ機能を使用した人々の銀行口座を空にする可能性があるバグよりも、スターバックスにとってより深刻なリスクとなる可能性がある。
