米スタバ、プリペイドカードシステムの脆弱性発見者を「詐欺的行為を行った」と批判 22
ストーリー by hylom
まあ分からないでも無いが 部門より
まあ分からないでも無いが 部門より
あるAnonymous Coward 曰く、
米コーヒーチェーンStarbucksのプリペイドカード(ギフトカード)ではWebブラウザ上で残高を別のカードに移動させることができるそうなのだが、そのシステムに脆弱性があり、2つのWebブラウザで同時に残高の移動操作を行うことで残高を増やすことができてしまったそうだ。これを実証してStarbucksに報告した人物が、逆にStarbucksから「詐欺的行為を行った」と非難されている模様(BBC)。
批判の理由はStarbucks側の同意を得ずに脆弱性を実証したためだという。
なお、Starbucksでは他人のプリペイドカード残高を勝手に自分のカードに移し替える攻撃も話題になっているが(ITmedia)、これはまた別個の問題の模様。残高が減ったら登録されているクレジットカード情報を使って自動的にチャージを行う自動チャージ設定があり、残高が少ない状態でもこれを悪用して相当額の残高を奪い取ることができたそうだが、これについてStarbucks側は不注意な顧客が悪いという姿勢のようだ。
この件、だいぶ前に日本法人に報告済みだったんですが (スコア:2, 興味深い)
担当者さん、コールセンターの録音漁ってね。
Re: (スコア:0)
まじですかwww
Re: (スコア:0)
Re:この件、だいぶ前に日本法人に報告済みだったんですが (スコア:1)
「不注意なStarbucksが悪い」と返せばいい。
Re: (スコア:0)
通報しますた!m9(^Д^)
これはまるで (スコア:0)
子供が一人で歩いていたから声をかけたら逆に通報されたみたいな。
見つけても黙っている方がいい。
Re: (スコア:0)
中に巫女がいればよかったんだよね
Re: (スコア:0)
中に誰もいなかったのか……
# 違う
Re: (スコア:0)
そのたとえほどに非の無い行動ではないと思う。
「警備が甘くて盗めそうな店があるので実際やったら盗めてしまった。その後、その店に報告した。」みたいな感じでは。
Re: (スコア:0)
この手法で手に入れたポイントを使って商品を購入しているなら別ですが、
そうじゃないならそれは言いすぎ。
「鍵がかかってるはずの観音開きのドアを左右同時に押してみたら開いた」ぐらいじゃないかな?
Re:これはまるで (スコア:1)
元ネタの記事 [sakurity.com]見ると実際に商品購入してますけど?
本人は「キャッシュの影響で残高が増えたように見えただけ」と先方が主張する可能性もあるので「we need a proof of concept.」として実際の購入を試した、と言ってますが。
排他制御のミス? (スコア:0)
ここ読んでみたけど、ずいぶん杜撰なシステムのようですね。
http://gigazine.net/news/20150526-hacking-starbucks-unlimited-coffee/ [gigazine.net]
Re:排他制御のミス?(Gigazine雑感) (スコア:1)
本人も「ヤバいかも」とは思っていたんだな〜。
>当初はバグ発見の功績として1000ドルの報奨金を支払うと言われたそうですが、のちに実際の担当者からからはお礼を言われるどころか「悪意のある行為だ」と、・・・・
法務部門が横槍いれたっぽいな〜。
Re: (スコア:0)
>本人も「ヤバいかも」とは思っていたんだな〜。
高額だと別の理由疑われたりしますから。
Re: (スコア:0)
他人の残高を盗む攻撃に対してもだけど、この手の話で一番駄目な対応に後から差し替えてるのが救いようがない。
そういう連中が上にいるとなると当分は駄目なシステムと駄目な対応が続くんだろうな…
消費者側や消費者より技術者としてはしばらくは寄るな触るな自爆を待て、をやってくのが一番安全かな。
警戒心の低い犠牲者を糧に生き残ったとしてもそれは全く褒められた行為じゃないんだよなぁ……なんかLINEみたいな話だ。
関連ストーリー (スコア:0)
おっとそれはGREEが2012年に通った道だ、かな?
「GREEのソーシャルゲーム「探検ドリランド」でカードを無限に増やせるバグ、カードの回収騒ぎに」
http://srad.jp/story/12/02/22/0826206/ [srad.jp]
ACID (スコア:0)
データベースのACIDのAの典型例じゃないか
独断と偏見 (スコア:0)
スタバってこういう対応するタイプの人が行く店ってイメージだったから妙に納得した
当社は意識高い人しか使わないので問題ない(キリ (スコア:0)
と中で思っていたら終わりだろうなぁ(笑)
Re: (スコア:0)
意識高い系しか使わないから問題なのにね。
こんな会社が生き残る (スコア:0)
この程度で客足は鈍らないからね。
文句あるなら来なきゃいいじゃん。
って言われそう。
Re:こんな会社が生き残る (スコア:2, おもしろおかしい)
客足は鈍らない。それどころか、残高増やしまくったカードを持った客で溢れかえるかもしれない。