パスワードを忘れた? アカウント作成
12083108 story
セキュリティ

米スタバ、プリペイドカードシステムの脆弱性発見者を「詐欺的行為を行った」と批判 22

ストーリー by hylom
まあ分からないでも無いが 部門より
あるAnonymous Coward 曰く、

米コーヒーチェーンStarbucksのプリペイドカード(ギフトカード)ではWebブラウザ上で残高を別のカードに移動させることができるそうなのだが、そのシステムに脆弱性があり、2つのWebブラウザで同時に残高の移動操作を行うことで残高を増やすことができてしまったそうだ。これを実証してStarbucksに報告した人物が、逆にStarbucksから「詐欺的行為を行った」と非難されている模様(BBC)。

批判の理由はStarbucks側の同意を得ずに脆弱性を実証したためだという。

なお、Starbucksでは他人のプリペイドカード残高を勝手に自分のカードに移し替える攻撃も話題になっているが(ITmedia)、これはまた別個の問題の模様。残高が減ったら登録されているクレジットカード情報を使って自動的にチャージを行う自動チャージ設定があり、残高が少ない状態でもこれを悪用して相当額の残高を奪い取ることができたそうだが、これについてStarbucks側は不注意な顧客が悪いという姿勢のようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2015年05月27日 17時01分 (#2821246)

    担当者さん、コールセンターの録音漁ってね。

  • by Anonymous Coward on 2015年05月27日 14時17分 (#2821155)

    子供が一人で歩いていたから声をかけたら逆に通報されたみたいな。

    見つけても黙っている方がいい。

    • by Anonymous Coward

      中に巫女がいればよかったんだよね

      • by Anonymous Coward

        中に誰もいなかったのか……
         
        # 違う

    • by Anonymous Coward

      そのたとえほどに非の無い行動ではないと思う。
      「警備が甘くて盗めそうな店があるので実際やったら盗めてしまった。その後、その店に報告した。」みたいな感じでは。

      • by Anonymous Coward

        この手法で手に入れたポイントを使って商品を購入しているなら別ですが、
        そうじゃないならそれは言いすぎ。
        「鍵がかかってるはずの観音開きのドアを左右同時に押してみたら開いた」ぐらいじゃないかな?

        • by COCKY (5646) on 2015年05月28日 10時09分 (#2821582)

          元ネタの記事 [sakurity.com]見ると実際に商品購入してますけど?
          本人は「キャッシュの影響で残高が増えたように見えただけ」と先方が主張する可能性もあるので「we need a proof of concept.」として実際の購入を試した、と言ってますが。

          親コメント
  • by Anonymous Coward on 2015年05月27日 14時26分 (#2821160)

    ここ読んでみたけど、ずいぶん杜撰なシステムのようですね。
    http://gigazine.net/news/20150526-hacking-starbucks-unlimited-coffee/ [gigazine.net]

    • by Anonymous Coward on 2015年05月27日 14時39分 (#2821167)
      >なお、バグを使って少額しか残高を増やさなかったことについてEgorさんは「アメリカの法律的に刑務所に入れられない範囲を狙ってのこと」としています。

      本人も「ヤバいかも」とは思っていたんだな〜。

      >当初はバグ発見の功績として1000ドルの報奨金を支払うと言われたそうですが、のちに実際の担当者からからはお礼を言われるどころか「悪意のある行為だ」と、・・・・

      法務部門が横槍いれたっぽいな〜。
      親コメント
      • by Anonymous Coward

        >本人も「ヤバいかも」とは思っていたんだな〜。

        高額だと別の理由疑われたりしますから。

      • by Anonymous Coward

        他人の残高を盗む攻撃に対してもだけど、この手の話で一番駄目な対応に後から差し替えてるのが救いようがない。
        そういう連中が上にいるとなると当分は駄目なシステムと駄目な対応が続くんだろうな…
        消費者側や消費者より技術者としてはしばらくは寄るな触るな自爆を待て、をやってくのが一番安全かな。
        警戒心の低い犠牲者を糧に生き残ったとしてもそれは全く褒められた行為じゃないんだよなぁ……なんかLINEみたいな話だ。

    • by Anonymous Coward

      おっとそれはGREEが2012年に通った道だ、かな?
      「GREEのソーシャルゲーム「探検ドリランド」でカードを無限に増やせるバグ、カードの回収騒ぎに」
      http://srad.jp/story/12/02/22/0826206/ [srad.jp]

  • by Anonymous Coward on 2015年05月27日 20時03分 (#2821353)

    データベースのACIDのAの典型例じゃないか

  • by Anonymous Coward on 2015年05月27日 21時02分 (#2821391)

    スタバってこういう対応するタイプの人が行く店ってイメージだったから妙に納得した

  • by Anonymous Coward on 2015年05月27日 22時58分 (#2821451)

    と中で思っていたら終わりだろうなぁ(笑)

    • by Anonymous Coward

      意識高い系しか使わないから問題なのにね。

  • by Anonymous Coward on 2015年05月28日 0時22分 (#2821474)

    この程度で客足は鈍らないからね。
    文句あるなら来なきゃいいじゃん。

    って言われそう。

typodupeerror

開いた括弧は必ず閉じる -- あるプログラマー

読み込み中...