對於駭客而言,Startbucks 的會員帳號就像顆搖錢樹。幾天前,這個存在已久的問題,再次因為記者 Bob Sullivan 報導而浮上檯面。

「借由 Startbucks 帳號中的與信用卡連結的自動加值功能,駭客可以輕易的在幾分鐘內從單一消費者身上竊取數百美元。由於盜用 Startbucks 帳號並不需要太高深的技術,同型態的犯罪很有可能在近期內開始暴增。因此,所有的消費者應該立刻暫停使用 Startbucks 的自動加值與行動支付功能。

光是去年,Startbucks 行動支付的營業額變高達了 20 億 USD,且有 1/6 的支付是透過 Startbucks app,使這種新形態的盜用行為具有造成極大損失的潛在可能。」

這篇報導也包括了數個在 Twitter 上表示曾因 Starbucks 帳號遭受盜用,而損失大量金額的例子

針對這篇貼文,Startbucks 迅速地做出了回應並否認其行動支付系統有被入侵的危險。

「Startbucks 對於消費者個資的保護十分重視。任何表示 Startbucks APP 曾經被駭客破解的消息都是不實的報導。如同所有大型連鎖業者,Startbucks 已經與金融機構密切合作,對所有可疑的詐欺行為採取了高度安全措施。因為安全的理由,Startbucks 無法公佈其具體措施,但可以保證任何有關消費者的個資都是安全無虞的。Startbucks 最常收到的詐騙,多半來自駭客企圖利用由其他網站所取得的消費者帳號密碼盜用 Startbucks 帳號。為了保護己身重要個資的安全,消費者應該儘量為個別網站建立不同的帳號密碼,特別是與金融相關的帳號。」

回應中並指出,只要有經過登記,消費者將不會因為帳號被盜用而遭受任何損失。

  • 駭客駭進星巴克,只是為了喝咖啡?

雖然 Starbucks 的回應已經某種程度上消除了 Sullivan 報導所帶來的疑慮,但事實上,Starbucks 的回應仍主要建立在比較狹隘的盜用定義之上。

大部份的媒體報導都忽略了關鍵性的問題:既然 Starbucks 的儲值金額無法退回變現,為什麼駭客還要竊取 Starbucks 帳號的資料?難道只是為了喝免費的咖啡嗎?

Paul Martini,網路安全公司 iboss 的 CEO 指出:「有關於 Hacked(破解) 定義的爭議已經普遍到近乎只是文字遊戲的程度。想要定義 Starbucks 的 APP 是否已被破解是十分荒謬的。這個 APP 的初始設計就是有瑕疵的:自動儲值應該只能被限制在櫃檯進行。而另一個問題是:為何駭客能夠在 10 分鐘內加值且盜領出所加值的金額。」

另外,駭客的盜用手法並不僅止於利用由其他網站所盜取的的消費者個人資訊,其他常見的手法還包括透過內容與呈現模式與實際通知極為相似的釣魚 email 等等。在為這篇文章搜集資料的過程中,我也收到了一封。

AIxB7F2m6QOvTdyZyEUrnyXa2f_6-pHsf350JnLsG5g

 

顯然,對於詐騙集團來說,Starbucks 帳號具有高度的吸引力。在 Alpha Bay Middle Earth 等僅能透過 Tor browser 進入的黑市網站上,以 Starbucks 帳號為標的的買賣可說是多不勝數。

Screenshot-2015-05-15-11.24.07

回到如何將竊取儲值變現問題,最簡單的方式是利用自動加值的金額購買大量 gift card(內含金額的儲值卡) 後,在網路上以較低的價格賣出折現。

對此 Starbucks 表示,目前 gift card 的銷售僅限於在實體店面,無法透過 APP 或是帳號在線上購買。因此,如果想透過這種方式變現,將會耗費極大且與所竊取金額不成比例的人力。

Paul Martini 提供了另一個變現的可能方式:

「利用 Starbucks 帳號大量購買咖啡後,再於網路黑市上出售是個可能的模式。在黑市中,一袋 Starbucks expresso 價格約介於 10~15USD 之間 (最便宜咖啡的黑市價約在11.95USD)。理論上,只要能累積到足夠的銷售量,利用這個模式將所竊取的金額變現是可能的。」

當然,雖然機率不高,但是能夠直接將 Starbucks 儲值金額變現的手法仍有存在的可能。到目前為止,似乎還沒有人找到可行的方式。

  • 拿星巴克禮物卡來洗錢?

另一個讓 Starbucks 帳號在黑市上如此熱門的原因在於其於洗錢作業中的實用性。一篇來自2011 年的 FBI 文件指出:「在組織犯罪、販毒集團、白領犯罪的調查當中,都出現了大量可疑的 gift card 購買。 」

Screenshot-2015-05-15-11.03.58

利用儲值卡進行洗錢的好處在於不但供應量不虞匱乏,卡片本身即可被視為乾淨的貨幣,且得以輕易折價變現。

而 Starbucks 帳號在黑市中的熱門,可能就是因為其能夠將黑錢與來源進一步隔離的特性。

  • 如何鞏固用戶資安成議題

雖然 Starbucks 堅持其帳號系統安全無虞,但根據 Brendan RizzoHP Security Voltage 的技術總監表示,Starbucks 應該儘快做出改變:「如果相關的盜用頻率持續上昇,Starbucks 的形象將會大受打擊。我認為 Starbucks 目前所關心的重點在於維持其安全的形象,而非儘速升級系統安全性。從我的觀點看來,大部分盜用行為都具有一定模式。因此,對於 Starbucks 來說,要辨認出這些被盜用的帳號並將其強制關閉,難度應該不會太高。」

雖然 Starbucks 內部已經有針對不尋常大額交易的偵測機制,對於高頻率小額的交易卻仍無能為力。
追根究底,Starbucks 依然必須在安全性與方便性之間做出取捨。與 Starbucks 性質相似的零售連鎖業者,多半仍傾向犧牲部分安全性,以提供更加方便的服務。

網路安全公司 Lancope 的資訊安全部門副總,Gavin Reid 表示:「 其中一個兼固安全與方便的做法是採用一次性的密碼。相較於傳統的長密碼,一次性的密碼的安全性甚至更高。另外一個方法是在帳號被扣款時,利用簡訊通知使用者。」

在此同時,對 Starbucks 的消費者的最佳處理方法是立刻關閉自動加值功能,並確保帳號密碼位於其他網站重複。但這麼一來,也就不那麼方便了,對吧?

雲端服務方便又充滿彈性,但要怎麼組合,才能兼顧便宜、高效?怎麼避免在訂購雲端主機服務時不小心 oversizing?怎麼善用工具加強 GPU、CPU、CDN,同時增強資安防禦能力?

IBM 了解你,9/1 (二)晚上 7:00,「開發者、遊戲業者必學 – 雲端聰明採購法則」與你相約在創夢市集 ,僅此一場的「雲端主機設定檢測召集」活動。

不管你使用的是哪家的方案,現場雲端主機應用專家提供完整客製化雲端服務健檢,依照需求試算最佳雲端組合做法,讓你找到又便宜、又好用、又安全的雲端服務最佳採購解,名額有限,提前報名再送 500 美元試用 Coupon!

備註:欲接受現場雲段服務組合檢測諮詢者,請在報名後另行向主辦單位登記,我們將為您優先安排。
報名網址:http://www.accupass.com/go/softlayer

  • 延伸閱讀

星巴克歷久不衰的秘密 用大數據找到鑽石店面

專訪國際刑警資安顧問:拜託,別再用 Windows XP 了!

讚嘆臉書!Messenger 支付暢通了社群商務的最後一哩路

資料來源:《thenextweb.com》,未經授權不得轉載;圖片來源:thenextweb.com,  koalazymonkeyCC Licensed