用戶App餘額遭盜用,美國星巴克否認被駭
最近有多起星巴克程式帳號遭到盜用的事件浮上檯面,有駭客挾持了用戶的憑證,並利用
相關帳號的自動儲值功能購買了多張禮物卡。目前曝光的受害者損失都在幾百美元之譜,
外界猜測,駭客透過黑市銷售這些禮物卡來牟利。
iThome 文/陳曉莉 | 2015-05-15發表
本周美國傳出有駭客針對星巴克(Starbucks)行動程式進行攻擊,取得該程式用戶的登
入憑證,並用來購買禮物卡,再於黑市上銷售。星巴克證實了駭客的行為,但否認程式含
有漏洞,指出駭客是藉由其他管道取得使用者的登入憑證。
星巴克為全球知名的連鎖咖啡門市,該公司所打造的同名行動程式提供星巴克的各種最新
消息及活動,可用來尋找最近的門市,還具備隨行卡及禮物卡功能,可直接用來消費或是
購買禮物卡送給友人,該程式連結了使用者信用卡與PayPal帳號,並支援自動儲值功能。
不過,最近有多起星巴克程式帳號遭到盜用的事件浮上檯面,有駭客挾持了用戶的憑證,
並利用相關帳號的自動儲值功能購買了多張禮物卡。目前曝光的受害者損失都在幾百美元
之譜,外界猜測,駭客透過黑市銷售這些禮物卡來牟利。
曾有人懷疑是星巴克的系統被入侵或是程式漏洞,然而星巴克很快就出面澄清表示,的確
有用戶抱怨帳號被盜用,但這主要是因為駭客從他處取得了使用者的帳號與密碼,再嘗試
以同樣的憑證登入星巴克程式。為了保障用戶的安全,星巴克建議使用者在不同的服務中
要使用不同的憑證,特別是與金融資訊有關的服務。
根據估計,目前星巴克程式約有1600萬使用者,去年在美國星巴克門市的交易中就有16%
是透過星巴克程式。此外,去年底的送禮旺季,有超過1/7的美國人都收到星巴克的禮物
卡。
即使星巴克否認是系統或程式含有安全漏洞,但也強調用戶不必替被盜用的款項負責。安
全專家則建議星巴克應該要採用雙因素認證機制來保護使用者憑證,並限制密碼輸錯次數
。(編譯/陳曉莉)
http://www.ithome.com.tw/news/95896