Κυριακή, 21 Φεβρουαρίου, 04:14
Αρχική security Ένα bug RCE αποκαλύφθηκε στην πλατφόρμα για κινητά των Starbucks

Ένα bug RCE αποκαλύφθηκε στην πλατφόρμα για κινητά των Starbucks

Ένα πιθανό σφάλμα απομακρυσμένης εκτέλεσης κώδικα (RCE) έχει διορθωθεί σε ένα από τα domains για κινητά της εταιρείας Starbucks.

Η γιγαντιαία αμερικανική εταιρεία καφέ τρέχει ένα πρόγραμμα bounty bug στο HackerOne. Μια νέα αναφορά ευπάθειας που υποβλήθηκε από τον Kamil “ko2sec” Onur Özkaleli, που υποβλήθηκε για πρώτη φορά στις 5 Νοεμβρίου και δημοσιοποιήθηκε στις 9 Δεκεμβρίου, περιγράφει ένα ζήτημα RCE που βρέθηκε στο mobile.starbucks.com.sg, μια πλατφόρμα για τους χρήστες της Σιγκαπούρης.

Starbucks

Σύμφωνα με το advisory, ο ko2sec ανακάλυψε ένα endpoint .ashx στο mobile.starbucks.com.sg που προοριζόταν για το χειρισμό αρχείων εικόνας. Ωστόσο, το endpoint δεν περιόριζε τα αρχεία που ανέβαιναν, πράγμα που σημαίνει ότι οι εισβολείς θα μπορούσαν να κάνουν κατάχρηση του προβλήματος και ενδεχομένως να ανεβάσουν κακόβουλα αρχεία και να εκτελέσουν απομακρυσμένα τον αυθαίρετο κώδικα.

Δεν έχει εκδοθεί CVE για την κρίσιμη ευπάθεια, αλλά έχει βαθμολογηθεί με 9,8. Ο Ko2sec έλαβε το ποσό των 5.600 δολαρίων για τα ευρήματα του.

Το RCE δεν είναι η μόνη υποβολή σφάλματος που έκανε ο ερευνητής για τα Starbucks. Τον Οκτώβριο, ο Ko2sec περιέγραψε ένα «account takeover exploit» στον ιστότοπο Starbucks Singapore που προκλήθηκε από ανοιχτά περιβάλλοντα δοκιμών. Ήταν δυνατόν να στοχευθούν χρήστες – αν γνώριζαν το email τους – να δουν τα προσωπικά τους στοιχεία και ακόμη και να χρησιμοποιήσουν οποιοδήποτε ποσό φορτωθεί στα πορτοφόλια των λογαριασμών τους για να πραγματοποιήσουν αγορές.

Ο κυνηγός σφαλμάτων έλαβε το ποσό των 6.000 δολαρίων για αυτήν την αναφορά.

Μέχρι σήμερα, η εταιρεία Starbucks έχει λάβει 1068 αναφορές ευπαθειών στο HackerOne. Το μέσο ποσό που καταβλήθηκε για έγκυρες υποβολές κυμαίνεται από 250 δολάρια μέχρι και 375 δολάρια, ενώ τα κρίσιμα σφάλματα κόστισαν από 4000 $ έως και 6000 $. Συνολικά, η αλυσίδα καφέ έχει πληρώσει πάνω από 640.000 $ σε κυνηγούς σφαλμάτων.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

LIVE NEWS

Πως να συνδέσετε ακουστικά Bluetooth σε ένα Nintendo Switch

Το Nintendo Switch διαθέτει υποδοχή ακουστικών. Ωστόσο, τα περισσότερα ακουστικά έχουν γίνει ασύρματα οπότε θα χρειαστείτε έναν τρόπο για να συνδέσετε αυτά...

Πώς να αποκρύψετε τον αριθμό τηλεφώνου σας στο Telegram

Εάν επιθυμείτε να δημιουργήσετε ένα λογαριασμό Telegram, πρέπει να δώσετε τον αριθμό τηλεφώνου σας. Με αυτό τον τρόπο, το Telegram επικυρώνει την...

Google Assistant: Πώς μπορείτε να διαγράψετε τις ηχογραφήσεις σας;

Το Google Assistant μπορεί να σας διευκολύνει πολύ στην καθημερινότητά σας. Ωστόσο, συνεπάγεται και κάποια ζητήματα ως προς το απόρρητο, καθώς όσα...

Microsoft: Office 2021 / Office LTSC έρχονται το δεύτερο εξάμηνο του 2021

Η Microsoft ανακοίνωσε ότι θα κυκλοφορήσει μέσα στο 2021 το Microsoft Office Long Term Servicing Channel (LTSC) και το Office 2021, για...

Πώς να δημιουργήσετε με γρήγορο τρόπο QR codes με το Bing

Αν χρειαστεί ποτέ να δημιουργήσετε έναν QR code, αλλά δεν ξέρετε πως, η Microsoft διαθέτει ένα εύχρηστο εργαλείο διαθέσιμο σε οποιοδήποτε πρόγραμμα...

Brave: Διέρρευσαν διευθύνσεις onion σε DNS traffic

Η λειτουργία Tor που περιλαμβάνεται στον Brave web browser, επιτρέπει στους χρήστες να έχουν πρόσβαση σε .onion dark web domains μέσα σε...

Ποιες είναι οι 6 πιο γνωστές επιθέσεις σε gaming εταιρείες;

Πριν μερικές ημέρες, η εταιρεία gaming Big Huge Games ενημέρωσε τους παίκτες ότι υπήρξε θύμα μιας επίθεσης, η οποία επηρέασε δεδομένα της...

Οι δωροκάρτες του Xbox πωλούνται με έκπτωση 10% στο Amazon

Οι κάτοχοι των Xbox μπορούν να εξοικονομήσουν λίγα χρήματα σε παιχνίδια, add-ons, συνδρομές και πολλά άλλα, αν ψωνίσουν τις δωροκάρτες Xbox στο...

Perseverance: Το διαστημικό όχημα της NASA προσεδαφίστηκε στον Άρη!

Το διαστημικό όχημα «Perseverance» προσεδαφίστηκε επιτυχώς χθες, λίγο πριν τις 11 το βράδυ ώρα Ελλάδος στον Άρη. Στόχος αυτής της αποστολής της...

YouTube: Μπορείτε να αναπαράγετε βίντεο 4K σε συσκευές με οθόνες χαμηλής ανάλυσης

Η εφαρμογή Youtube σε Android σας επιτρέπει να αναπαράγετε βίντεο με ανάλυση έως 4K. Το μόνο που χρειάζεστε είναι ένα τηλέφωνο με...