Kwetsbaarheid compromitteerde data 100 miljoen Starbucks-klanten

Een kritieke kwetsbaarheid bij Starbucks maakte het mogelijk om de gegevens van bijna honderd miljoen klanten op te vragen.

Daarbij ging het om gebruikersnamen, namen, e-mailadressen, telefoonnummers, adresgegevens, registratiedatums, landen en de systemen waarmee werd geregistreerd.

Path traversal-aanval

Beveiligingsonderzoeker Sam Curry kwam het lek op het spoor, toen hij iets via de Starbucks-website wilde kopen. Hij merkte op dat één van de API’s die de Starbucks-webapplicatie gebruikt, gegevens van een andere host leek door te sturen. Uit nader onderzoek bleek dat dit inderdaad het geval was. Het betrof een intern Starbucks-systeem. Curry constateerde dat de API niet goed omging met gebruikersinvoer. Hierdoor kon een path traversal-aanval uitgevoerd worden. Vervolgens kon toegang verkregen worden tot endpoints op het interne Starbucks-systeem.

Microsoft Graph-installatie

Starbucks gebruikt weliswaar een webapplication firewall, maar de onderzoeker slaagde erin om deze te omzeilen. Eén van de directories die Curry via de path traversal-aanval aantrof, bleek een Microsoft Graph-installatie. Deze biedt toegang tot de gegevens van de bijna honderd miljoen klanten die Starbucks heeft. Tevens vond Curry meerdere endpoints waarmee het waarschijnlijk mogelijk is om cadeaubonnen, adresgegevens, beloningen en aanbiedingen te wijzigen. Curry heeft deze mogelijkheid echter niet verder onderzocht. Op 16 mei informeerde de onderzoeker Starbucks over de kwetsbaarheid, die een dag later was gerepareerd.

Aanmelden voor onze nieuwsbrief