Un chasseur de prime a découvert une vulnérabilité qui permettait d'accéder aux noms, adresses, emails et numéros de téléphone de 100 millions de clients de Starbucks. L'entreprise a corrigé le problème un jour après son signalement, et récompensé le hacker pour sa trouvaille.

Parfois, les failles sont découvertes et réparées avant d’être exploitées par des hackers malveillants. C’est le cas de cette vulnérabilité majeure dans le système de Starbucks, découverte par le chasseur de bug Sam Curry et détaillée dans un de ses billets de blog.

Alors qu’il achetait une carte cadeau sur le site de l’entreprise, le hacker a remonté une piste suspicieuse jusqu’à un accès aux données de 100 millions de clients de Starbucks. Il pouvait consulter leurs noms, adresses email, numéros de téléphone et adresses. Étant donné l’ampleur de sa trouvaille, il s’est empressé de prévenir l’entreprise. Il pense cependant qu’en creusant plus, il aurait pu « accéder à des éléments comme l’adresse de facturation, les cartes cadeaux, les récompenses ou les offres, puis les modifier. »

Starbucks a évité un scandale autour des données grâce à son programme de bug bounty. // Source : peargui/Pixabay

Sam Curry a déposé sa preuve de concept sur la plateforme de bug bounty de Starbucks le 16 mai. Le lendemain, la faille était réparée, et deux jours plus tard, il recevait une prime de 4 000€, la récompense maximale prévue par le programme.

Starbucks sauvé par son programme de bug bounty

Le hacker a commencé son enquête en remarquant plusieurs « API suspectes » pendant son achat d’une carte cadeau. Les sites sont généralement reliés à toutes sortes de logiciels par les API, ou interfaces de programmation, qui permettent d’intégrer certaines fonctionnalités.

Puisque Sam Curry gagne son pain en trouvant des bugs, et que Starbucks dispose d’un programme de bug bounty qui cadre le périmètre des recherches et le montant des récompenses, il s’est penché plus sérieusement sur la piste qu’il flairait.

Après plusieurs manipulations techniques détaillées dans son billet de blog, il est parvenu à remonter une des API jusqu’à une instance de Microsoft Graph non protégée. Ce service de Microsoft sert de passerelle pour accéder au large volume de données générées par Microsoft 365, Windows 10 ou encore Enterprise Mobility + Security.

Avec son accès, le hacker a pu lancer des fonctions comprises Microsoft Graph, qui lui ont permis de connaître le nombre total d’utilisateurs dans la base, de chercher certains noms précis ou encore de la télécharger. Bien évidemment, l’accès au Graph aurait dû être soumis à une procédure d’authentification. Et dans le cas où des malfaiteurs auraient mis la main sur ces données, ils auraient pu les utiliser pour alimenter leurs campagnes de phishing.

Si Starbucks a pu réparer cette vulnérabilité potentiellement dangereuse avant qu’elle ne soit exploitée, c’est notamment parce qu’elle disposait d’un programme de bug bounty interne. Ces programmes de sécurité, complémentaires des audits, sont encore peu répandus en France, alors que la majorité des grands groupes américains en ont un. La plateforme française YesWeHack et l’américain HackerOne, proposent de créer ces programmes pour le compte des entreprises, et de gérer les rapports entre elles et les entreprises. Mais certains grands groupes préfèrent gérer eux-mêmes cette relation.

Crédit photo de la une : Pexels

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux