A Starbucks mobilfizetés esete a clear texttel

2014. január 17. 10:08 - Csizmazia Darab István [Rambo]

Jó dolog a kényelem, minden áron azonban nem érdemes törekedni rá. Mint az a beszámolókból kiderült, a Starbucks kávélánc mobilos platformon működő fizetési applikációja nem csak földrajzi adatainkat tárolta sima olvasható szövegként, hanem ráadásul a jelszavainkat is.

Ha még azt is hozzávesszük, hogy az USA-ban ez a leggyakrabban használt mobil alkalmazás, akkor többet várnánk el egy ilyentől, és szinte érthetetlen, hogyan lehetett ezt így elkészíteni. A hitelesítő adatok tárolása oly módon, hogy ahhoz bárki, aki a telefont csatlakoztatja egy számítógéphez, simán láthassa a jelszavakat és felhasználóneveket - nem fog bekerülni a kódolás aranykönyvébe. Ha esetleg mégis tanítani fogják ezt a biztonságos programozás tantárgy keretében, akkor is maximum elrettentő példaként.

A "könnyű használat" és a "kényelem" jegyében csak egyetlen egyszer kellett megadni a jelszavunkat, amikor aktiváljuk a fizetési lehetőséget, onnantól kezdődően ez folyamatosan él, és korlátlan költést tesz lehetővé. Dönthettek volna úgy, hogy biztonsági okokból nem tárolják a jelszavakat helyben a készüléken, dönthettek volna úgy, hogy titkosítva tárolják, dönthettek volna úgy, hogy minden vásárlási tranzakciónál jelszót kérnek, de ezek egyikét sem tették. Vicces módon az app csak és kizárólag akkor kéri be újra a passwordot, ha pénzt fizetünk be rá ;-).

Nos ha ott ellopnak egy telefont, akkor ezek miatt ez főnyereményt jelent a tolvajnak, arról nem is beszélve, milyen sokan vannak még mindig azok, akik ugyanazt a jelszót több helyen is, vagy ami még rosszabb, minden egyes helyen azonosat használnak. Akkor ugye mellékszálként végig lehet aratni a levelezésen át a közösségi oldalakig mindent.

Daniel Wood biztonsági kutató mindezt még tavaly novemberben jelezte, majd miután hónapokig nem kapott választ, idén januárban publikálta is a történetet. Akkor aztán beindultak a lépések, "Ügyfeleink biztonsága rendkívül fontos számunkra, ezért aktívan figyelemmel kísérjük a kockázatokat, nem volt semmi új információ" kezdetű sajtó nyilatkozat, majd a gyors "extra layers of security" hozzáadásának bejelentése. Hogy rendre miért mindig ez a forgatókönyv, amikor a különféle óriás cégeknek segítő szándékkal újra és újra hibát jeleznek, az az Élet egyik nagy, szomorú és teljességgel megfejthetetlen rejtélye. 

1 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr435762452

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Yeto 2014.01.17. 13:07:39

Hát, azért ez nem olyan nagy rejtély ha csinálsz egy személyiségprofilt azokról az emberekről akik ezért felelősek.