Etikus hacker járt a Starbucks adatbázisában

​A Starbucks rendszerén egy kritikus veszélyességű biztonsági rés tátongott, ami könyvelési és pénzügyi adatokhoz való jogosulatlan hozzáférést tett lehetővé.
 

A Starbucks is felismerte már, hogy az etikus hackerek a jó oldalt képviselik, ezért a HackerOne platformon keresztül díjazza a sebezhetőségek feltárásával foglalkozó szakembereket. A cég által felkínált legnagyobb jutalom jelenleg 4.000 dollár, ami a legveszélyesebb sebezhetőségek jelentése után jár. A vállalat eddig összesen több mint 400 ezer dollárt fizetett a fehérkalapos hackereknek. 

A legnagyobb összegű, azaz 4.000 dolláros jutalomban részesült Eugene Lim biztonsági kutató is, aki egy nagyon veszélyes sérülékenységre derített fényt. A szakember április 8-án jelezte a felfedezését a Starbucks-nak, amely két napon belül befoltozta a biztonsági rést. A sérülékenység híre azonban csak a napokban került nyilvánosságra. 

Eugene Lim először XXE (XML External Entity) alapú támadásokkal próbálkozott, és rájött arra, hogy a Starbucks a Microsoft Dynamics AX vállalatirányítási rendszert használja. Ezekkel a támadásokkal nem ment sokra, de nem adta fel a küzdelmet. Néhány hét múlva ismét nekiveselkedett egy támadásnak, amit kifejezetten SQL injectionre hegyezett ki. Nem is kellett sokáig keresgélnie, ugyanis viszonylag hamar ráakadt egy biztonsági résre, amin keresztül tetszőleges SQL utasításokat tudott lefuttatni. Mivel a Dynamics AX adatbázisának leírása megtalálható az interneten, ezért a fontosabb adattáblák feltérképezése nem tartott sokáig. Ekkor derült ki, hogy Lim hozzáfért megközelítőleg egymillió pénzügyi, számlázási, könyvelési, bérszámfejtési adatrekordhoz. Mikor rájött arra, hogy az éles rendszerben kotorászik, akkor rögtön leállt a támadással, és az előírásoknak megfelelően jelezte a felfedezését. A Starbucks pedig gyorsan megkezdte a biztonsági rés befoltozását.