Een kritiek beveiligingslek bij Starbucks maakte het mogelijk om de gegevens van bijna honderd miljoen klanten op te vragen, zoals gebruikersnaam, naam, e-mailadres, telefoonnummers, adresgegevens, registratiedatum, land en het systeem waarmee er werd geregistreerd. Starbucks heeft de kwetsbaarheid inmiddels verholpen.
Beveiligingsonderzoeker Sam Curry ontdekte het probleem toen hij iets via de Starbucks-website wilde kopen. Het viel Curry op dat één van de API's waar de Starbucks-webapplicatie gebruik van maakt data van een andere host leek door te sturen. Verder onderzoek wees uit dat dit inderdaad het geval was. Het ging om een intern Starbucks-systeem.
Curry ontdekte dat de API niet goed omging met gebruikersinvoer, waardoor het mogelijk was een path traversal-aanval uit te voeren en zo toegang tot endpoints op het interne Starbucks-systeem te krijgen. Starbucks maakte wel gebruik van een webapplication firewall, maar die wist Curry te omzeilen. Eén van de directories die de onderzoeker via de path traversal-aanval vindt blijkt van een Microsoft Graph-installatie te zijn die toegang tot de gegevens van bijna honderd miljoen Starbucks-klanten heeft.
Ook vindt Curry verschillende endpoints waarmee het waarschijnlijk mogelijk is om cadeaubonnen, adresgegevens, beloningen en aanbiedingen aan te passen, hoewel de onderzoeker dit niet verder onderzoekt. Hij waarschuwt Starbucks op 16 mei, waarna de kwetsbaarheid op 17 mei wordt verholpen. Voor zijn bugmelding ontvangt Curry een beloning van 4.000 dollar. Starbucks biedt via het HackerOne-platform een bug bounty-programma en heeft voor kritieke kwetsbaarheden een maximale beloning van vierduizend dollar ingesteld.
Deze posting is gelocked. Reageren is niet meer mogelijk.