Te contamos como hicieron los hackers para robar dinero de las apps de los clientes de Starbucks.

Starbucks

Si usas apps como la de Starbucks (o similares) sería bueno que tomes algunas precauciones, ya que últimamente los Hackers han estado robando de las mismas. Hoy les contamos como lo hacen. Algunos clientes de Starbucks han visto su dinero desaparecer de su aplicación móvil de por hackers que lanzaron un nuevo ataque recientemente.

El caso que les contamos hoy, entre tantos otros que suceden cada día, es el de Starbucks, pero pueden creernos que cualquier empresa con una app similar podría pasar por la misma experiencia en cualquier momento.

Lo interesante y sofisticado de todo esto es que Starbucks no ha sido hackeado, (según reporta la empresa), lo que convierte la situación en aun más penosa.

O sea por más segura que sea la infraestructura informática de Starbucks, han creado una app que tiene grandes brechas de seguridad y que fueron fácilmente explotadas por los delincuentes.

Tres de estas vulnerabilidades son:

1 –

Usuarios que usan el mismo usuario y password para diferentes sitios o apps (esto no es realmente 100% culpa de la app, pero hay métodos para controlarlo). De este modo las listas que se consiguen en los mercados negros de trafico de passwords son más potentes, ya que un mismo password podrá ser usado en múltiples sitios de e-commerce.

2 –

Una función de auto-carga de la aplicación de Starbucks. Esto realmente es “un disparate”. Entendemos que desde el punto de vista del comerciante, facilitar la recarga de la app desde el banco es una “ventaja”. Pero ofrecerle a millones de personas tener una app que puede acceder directamente a su cuenta de bando es, como decirlo? un tanto irresponsable.

María, que usa (o usaba) la app de Starbucks cuenta lo que le pasó a ella la semana pasada. Temprano en la mañana del 6 de mayo, los hackers robaron USD 34.77 que esta residente de Orlando había cargado en su aplicación Starbucks y lo transfirieron a una tarjeta de “regalos” de Starbucks que ellos mismos controlaban.

Inmediatamente, su cuenta se volvió a cargar con 25 dólares, “usando la función de auto-carga”. Los delincuentes robaron eso también. Luego viendo que fácil les resultaba, cambiaron la cantidad de auto-recarga a USD 75, y el robo de los USD 75 demoro menos de cinco minutos más.

Debido a un correo electrónico que le había alertado un cambio en su cantidad de recarga, ella fue capaz de ver lo que estaba sucediendo en tiempo real, aunque incapaz de detener las transferencias de inmediato.

“Fue una locura. Yo pensaba, ¿Qué pasa aca?. Tuve suerte que se me ocurrió revisar mi correo electrónico cuando lo hice. De lo contrario, ¿quién sabe lo mucho que habrían sacado!”

3 –

Starbucks no tiene un límite en el número de intentos de contraseña incorrecta antes de que se bloquee la cuenta del cliente.

Cabe destacar que en 2014 Starbucks procesaba USD 2 billones en transacciones de pago móvil. Actualmente, alrededor del 18% de sus transacciones se realizan en aplicación de la compañía, dice Starbucks.

Nuestros expertos en seguridad informática nos cuentan cómo se realizó el ataque, el cual realmente no requería de una gran complejidad tecnológica. El sistema se denomina “fuerza bruta” lo que de por si nos hace pensar que no se necesita ser un gran experto para poder realizarlo.

En primer lugar, los ladrones compran contraseñas robadas en el mercado negro de Internet. A continuación, utilizan un programa automatizado para tratar de introducir las combinaciones (usuario + password) robadas, una tras otra en la aplicación móvil de Starbucks hasta que funciona (como dijimos, la app no limita este proceso). Según nuestros expertos esto es lo que se llama un ataque de “fuerza bruta”. Estos programas pueden “procesar” cientos de combinaciones de contraseñas por segundo.

Claro que en la mayoría de los casos no van a tener éxito, pero basta con que lo logren en un porcentaje muy pequeño para hacerse de importantes sumas.

A continuación, cuando los delincuentes se meten en la cuenta de la víctima, añaden una nueva tarjeta de regalo. Y luego de eso basta con, transferir todo el dinero que la víctima había cargado en su cuenta a la tarjeta de regalo, que esta bajo control de los ladrones.

 

Hackers en Starbucks

 

Usando esta técnica, los ladrones roban rápidamente todo el dinero en la aplicación de un usuario al ponerlo en la tarjeta de regalo.

Si el usuario tiene configurada la aplicación para recargar automáticamente dinero desde su tarjeta de crédito o cuenta de PayPal, los ladrones pueden robar inmediatamente otra vez tan pronto como la aplicación ponga más dinero en ella.

Los ladrones pueden utilizar las tarjetas de regalo recargadas para comprar café con leche y medialunas, o, más probablemente, revenderlas en Internet “por su valor nominal o uno menor, y así convertir el robo en dólares reales.

Todo esto sin siquiera molestarse en hackear los sistemas de Starbucks en absoluto. Otros casos recientes como los sucedidos en la cadena Target y Home Depot, fueron aún más graver ya que los atacantes realmente entraron en las redes y robaron información de los consumidores.

Asi es como un tipo de ataque se retroalimenta de otro, ya que son los atacantes de Starbucks quienes compran a los hackers de Target por ejemplo las listas robadas y las usan en sus ataques de fuerza bruta.

Ni hablar que si los usuarios usamos estas mismas contraseñas en las cuentas de banco o similares, los resultados solamente van a ser más desastrosos.

 
app 300

Te gusta latamisrael.com?

Si respondiste “si” Apoyanos tambien en Twitter.
 

Siguenos en Google plus