Según un informe publicado recientemente, la app móvil de Starbucks poseía una vulnerabilidad que exponía la información confidencial de aquellos clientes que se habían descargado la aplicación. No obstante, este gigante norteamericano, a pesar de no ser una compañía tecnológica, lanzó, anoche, una actualización que resuelve el problema.
La cadena estadounidense detectó la vulnerabilidad durante el pasado mes de diciembre y en enero lanzó el parche correspondiente, un periodo de tiempo más que aceptable. Normalmente, este proceso conlleva varios meses antes de que se tome alguna medida al respecto.
No obstante, si has descargado la app de Starbuck en tu iPhone, iPad o en cualquier otro dispositivo de Apple, te recomendamos que instales la actualización cuanto antes.
Ahorraremos los detalles técnicos de lo ocurrido, pero la vulnerabilidad estaba disponible para la última versión del sistema operativo: 2.6.1 de iOS. Tal y como hemos explicado, desde entonces la compañía ha tomado las medidas de seguridad necesarias y ha lanzado la versión actualizada 2.6.2, la cual se puede encontrar en el App Store de Apple.
Según un informe de Chris Brook, publicado en nuestro blog Threatpost, los clientes que no han descargado la actualización están expuestos a que cualquier persona acceda a la información confidencial del usuario como, por ejemplo, su nombre, apellidos, dirección y datos de geolocalización.
Esta aplicación almacenaba toda la información en texto plano sin encriptar en un archivo de registro que formaba parte de una solución de seguridad creada por la compañía Crashlytics.
Daniel Wood, investigador y miembro del OWASP (Proyecto Abierto de Seguridad de Aplicaciones Web) fue quien descubrió el bug y ha declarado que Starbucks no ha seguido las medidas necesarias para salvaguardar la seguridad en su aplicación. De hecho, también ha añadido que la compañía debería filtrar todos los datos de salida para “evitar que la información sea almacenada en texto plano en los archivos de registro de Crashlytics.”
Crashlytics ofrece soluciones para que los creadores de aplicaciones móviles puedan informar a los usuarios sobre los posibles problemas. Starbucks parece haber utilizado la tecnología de la empresa en su aplicación, aunque no la ha implementado de forma correcta.
El cofundador de Crashlytics, Wayne Chang, le comunicó a Chris Brook de Threatpost que el problema tiene que ver con las funciones de registro en texto plano. Añadió que Crashlytics no almacena automáticamente los nombres de usuarios o las contraseñas de los clientes. La función, CLSLog, “es una función opcional que los desarrolladores pueden utilizar para almacenar información adicional.”
Además, la app de Starbucks permite a los clientes conectar su tarjeta de Starbucks con el Smartphone y cargar dinero a través de Paypal o de la tarjeta de crédito, lo cual significa que se puede utilizar el Smartphone como método de pago en los Starbucks de muchos países.