星巴克官网曝严重漏洞 会员账户存盗窃风险

如果你在星巴克网站注册过会员,那么建议你得改密码了。

星巴克网站多枚高危漏洞

星巴克拥有数百万的注册用户,他们在账户填写了自己的信用卡信息,而新发现的漏洞可能导致这些信息的泄露。

埃及的独立安全研究员Mohamed M.表示,他在星巴克上发现了三个严重漏洞。黑客可以通过利用其中简单的点击劫持漏洞,获取受害用户账号的权限。

这三个漏洞分别是:

远程代码执行
远程文件包含(钓鱼攻击)
CSRF(跨站请求伪造)

漏洞描述

远程文件包含

黑客可以将任意地址的文件注入到该目标页面,其中包含源代码解析执行之类的攻击。

WEB服务器的远程代码执行

在客户端存在远程代码执行,黑客可以执行如XSS等攻击。

通过钓鱼攻击可以进行数据窃取和操作,比如黑客可以窃取你在星巴克网站存储的信用卡信息。

使用CSRF劫持星巴克账户

黑客利用CSRF跨站请求伪造攻击,让一个合法用户代他们发起攻击,他们可以:

说服人们点击他们的HTML页面。

往目标站点插入任意HTML页面

在这种情况下,攻击者可以用CSRF诱骗用户点击URL,在不经意中更改存储的账户信息和密码。黑客可以劫持受害者的账户、删除帐户,或者改变受害者绑定的邮件地址。

视频演示地址:https://www.youtube.com/watch?v=IjnHdcJi7n0

苦等奖金的白帽子

作为一名正义的白帽子,Mohamed将漏洞两度报告给星巴克,但没有得到任何回应。

Mohamed后来将漏洞报告给了US-CERT,而星巴克团队在十几天前修复了漏洞。星巴克在两个月前开启了漏洞奖金计划,目前Fouad还在苦逼地等待星巴克团队的回应和漏洞奖金。

作者:dawner

来源:51CTO

时间: 2024-09-09 13:38:38

星巴克官网曝严重漏洞 会员账户存盗窃风险的相关文章

魔兽世界假官网出现玩家帐号存丢失风险

7月6日消息,网易近日在其魔兽世界临时论坛发布公告,称魔兽官网正式开通以来,互联网上已出现了一些与这些域名十分相似的网站,已有部分玩家账号信息受到影响,并建议玩家要仔细检查网址,保护好自己信息,以避免误进非法网站而泄露帐户名与密码. 网易也同时表示,不熟悉新域名的玩家,依然可以通过wow.163.com来登陆战网和魔兽官网. 不过,该公告中仍未提及魔兽世界开服的时间.(文/洪喜) 以下为网易发出的公告通知: [公告] 请仔细检查战网与官方网站的链接地址 亲爱的玩家: 我们最近发现了一些与战网ht

Windows 10版星巴克应用现身官网

据外媒报道,星巴克承诺为Windows手机开发一款软件已经有好几月的时间了.该家公司最先则是在今年3月份宣布了该消息,当时表示会在未来30到45天时间内推出,然而并没有.到了6月份,星巴克方面又表示,他们将会在该月推出软件.结果大家也知道了,还是没有.现在,用户们终于在星巴克官网上看到了针对Windows 10平台开发的官方软件. 不过别兴奋的太早,当点击链接的时候,页面只是进行了刷新,并未跳转出下载链接,换句话说,现在这款软件仍旧没有真正地推出,这更像是一种预告.另外,用户还能发现,Windo

星巴克是一个致力于将人们联系在一起的品牌

星巴克是一个致力于将人们联系在一起的品牌,即所谓"星巴克体验",而非仅仅一杯咖啡.当我们看到移动互联.社交媒体已成为人们生活的一部分时,便重新定义了自己将人们联系在一起的方式,这让星巴克意识到数字营销的重要性.数字化营销对公司的持续成功来说,与卖出的咖啡一样重要.--星巴克创始人Howard Schultz 数字化营销完善了星巴克体验,让顾客感受到"星巴克就在身边".--星巴克中国区副总裁MarieHanSilloway 星巴克面临的困境:市场增速放缓,竞争加剧 星

星巴克:大数据是零售业发展契机

       科技决定企业高度 现代社会,成功的企业都离不开高科技.例如星巴克,是领先的零售餐饮品牌,同时又非常重视ICT.根据星巴克官网的数据,目前,星巴克在大陆60多个城市运营超过1001家门店.中国已然是星巴克的"第二本土市场",到2015年,星巴克计划在中国大陆运营1,500家门店.专业人士都明白:要实现如此规模的门店标准化产品和服务,并非仅仅依靠人力和决心就可以达成.餐饮连锁企业的品牌扩张,离不开专业.安全.可靠的ICT解决方案.越来越多的企业已经意识到ICT的重要作用.仅以

为什么是星巴克获得社会化媒体营销大奖第一名?

首先我们看下来自互联网的报道:北京时间7月21日早间消息,据国外媒体今日报道,市场研究公司Altimeter分析师Charlene Li在最新的研究报告中列出了社交媒体关系参与度最高的100个品牌,其中星巴克排名第一,戴尔位居第二,而eBay.谷歌和微软则分别位居三至五位. 以下为排名前十的各大品牌及其得分 1.星巴克 (127) 2.戴尔(123) 3.eBay(115) 4.谷歌(105) 5.微软(103) 6.汤森路透(101) 7.耐克(100) 8.亚马逊(88) 9.SAP (86

“可制定”网络营销 星巴克打造虚拟门店随你心情变

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 今天飞飞要讲的网络营销策略还是针对于喝的,前面说过了,本人嗜好与吃的.喝的,自然比较喜欢拿吃的说事了.星巴克无人不知吧,今天咱们就针对这话题讲讲星巴克是如何在网络营销上成功的. 星巴克有个宗旨,相信没几个人晓得吧,其实飞飞也是在偶然的一次的机会看到的,"星巴克的成功的成功在于在消费者需求的中心由产品转向服务,再由服务转向体验的时代,

星巴克,一家传统公司打出科技品牌

众所周知,星巴克是一家咖啡店,但在这么一家传统卖咖啡的店铺却是隐藏着多项互联网品牌的科技公司 ,如今,星巴克内部已经将网页,手机,社交媒体,网络营销,StarbucksCard和电子商务,Wi-Fi,星巴克数字网络,新兴的店内消费技术等等,统一作为数字业务战略,并将这些网络业务的传承同等于卖咖啡.   星巴克的科技发展,是传统行业像科技行业发展的先驱,外传统,内科技,这是互联网时代所有行业的宿命. 星巴克之所以如此迫切地向电子商务.手机支付和社交网络营销转移,也是当下的一个很好的趋势-顾客需求.

欧盟逆袭跨国企业税单 星巴克、谷歌、亚马逊卷入其中

欧盟已陷逃税黑洞.http://www.aliyun.com/zixun/aggregation/3570.html">欧盟委员会负责税收.关税同盟.审计和反欺诈事务的委员阿尔吉尔达斯·舍梅塔12月6日指出,欧盟27国每年因逃税损失1万亿欧元,相当于欧盟预算的5倍.分析认为,这1万亿欧元中,1500亿欧元属于非法逃税,其余可以算作合法避税. 具体到公司层面,谷歌去年40亿英镑销售业绩,缴税340万英镑:星巴克过去14年累计30亿英镑销售总额,纳税860万英镑.针对星巴克的税收问题,已有民众

星巴克、麦当劳上网当心遭人暗算 黑客自曝钓鱼全程

在星巴克.麦当劳等公共场所边点杯热饮边"蹭网",是不少消费者用手机网上冲浪的便利选择.不过,这些免费的Wifi中,可能隐藏着"黑网".近日,有黑客在网上自曝"钓鱼"全程,只要一台笔记本.一套无线网络和相关软件,就能搭起一个欺骗性Wifi,并从中窃取上钩者的用户名和密码.安全技术人员承认该方法的确行得通,提醒消费者选择Wifi时最好先和店员确认,以免被骗. 冒充星巴克Wifi"请君入瓮" 随着近日各大网站的泄密门事件频出,手机上