米スタバ、プリペイドカードシステムの脆弱性発見者を「詐欺的行為を行った」と批判
2015年5月27日 15:57
あるAnonymous Coward 曰く、 米コーヒーチェーンStarbucksのプリペイドカード(ギフトカード)ではWebブラウザ上で残高を別のカードに移動させることができるそうなのだが、そのシステムに脆弱性があり、2つのWebブラウザで同時に残高の移動操作を行うことで残高を増やすことができてしまったそうだ。これを実証してStarbucksに報告した人物が、逆にStarbucksから「詐欺的行為を行った」と非難されている模様(BBC)。
批判の理由はStarbucks側の同意を得ずに脆弱性を実証したためだという。
なお、Starbucksでは他人のプリペイドカード残高を勝手に自分のカードに移し替える攻撃も話題になっているが(ITmedia)、これはまた別個の問題の模様。残高が減ったら登録されているクレジットカード情報を使って自動的にチャージを行う自動チャージ設定があり、残高が少ない状態でもこれを悪用して相当額の残高を奪い取ることができたそうだが、これについてStarbucks側は不注意な顧客が悪いという姿勢のようだ。
スラドのコメントを読む | セキュリティセクション | セキュリティ
関連ストーリー: Google App Engineに脆弱性、Google側は沈黙 2015年05月19日 上場企業などに対し無断で攻撃を行ったセキュリティ企業、対象からの同意なしでの侵入テスト合法化を主張 2015年04月28日 とあるセキュリティ企業、上場企業100社に対し無断で攻撃を行っていた? 2014年10月23日