Meio Bit » Arquivo » Segurança » POG Level 5000: a Starbucks estaria guardando senhas como plain text

POG Level 5000: a Starbucks estaria guardando senhas como plain text

Você é programador? Então sente-se e prepare-se para cenas de POG e porqueira generalizada. Um pesquisador descobriu que, em 2014 o app mobile da Starbucks estava guardando a senha e username do usuário do serviço como texto puro, num arquivo no celular. Ou seja: quem roubou o iPhone, ainda levou de brinde os créditos trocáveis por cafés e guloseimas em qualquer loja da rede.

10 anos atrás

starbuck_starbucks

Tipo um Inception de Starbucks…

Uma das poucas vezes que briguei a sério profissionalmente foi quando descobri que um programador (nem era estagiário) havia escrito e colocado em produção uma rotina de “esqueci minha senha” que envia por e-mail mas, por pura preguiça, chamava uma função já pronta, colocando A SENHA NOVA em uma variável oculta no HTML. Era uma falha de segurança horrenda, qualquer um poderia ter acesso a qualquer conta no site. Eu pedi a cabeça, mas o coitadismo brasileiro salvou a vida do sujeito.

A maioria, a imensa totalidade das falhas de segurança são causadas por programação porca. E isso acontece em qualquer nível. No Skype pra Linux se você buscar por “BigMack23” ele não vai achar, pois o PORCO do programador não dá um TRIM antes de rodar a busca. Ele trata espaços como válidos, mesmo no começo e no fim da string.

Agora um pesquisador resolveu fuçar o iPhone e futucar as entranhas do app do Starbucks, que na civilização é usada para pagamento remoto, entre outros recursos. É muito cool, muito hipster, você compra créditos e ao invés de usar um cartão arcaico ou — argh — dinheiro, paga com seu celular.

Daniel Wood também achou cool, mas como todo bom desconfiado, abriu o capô e viu como funcionava. E isso não se faz, o resultado pode ser terrível. Ainda mais se você, como Daniel, abrir o arquivo:

/Library/Caches/com.crashlytics.data/com.starbucks.mystarbucks/session.clslog

O que há nele? Nada, exceto tokens OAUTH para reset de senha e login, além de username e senha da aplicação. Tudo, TUDO salvo em plaintext, sem nenhuma criptografia, sem um ROT13, um XOR, um UUENCODE, sem nem inverter a string pra dificultar a vida do invasor. NADA.

Veja bem, estamos falando de dinheiro aqui. Um Hipster que alimente o celular com US$ 50, US$ 100 e o perca, corre o risco de perder além do telefone, o café. E isso é trágico!

Uma vez um fornecedor se recusou a fornecer a documentação de um sistema. Sem ter o que fazer, fucei o banco e em algumas horas deduzi a criptografia deles. Era uma boa bosta, daí eu ter conseguido, mas foi o bastante pro programador alocado me ameaçar de processo, pois o “diretor” havia desenvolvido aquela “segurança”. E mesmo assim ainda era mais seguro que a Starbucks.

Portanto, meninas e meninos, aprendam. Nunca, jamais, em momento algum guardem senhas em texto puro. NUNCA. Senha não se guarda, exceto em post-it no monitor, escrito “Administrator — Abacaxi2000”. Se o seu login depende de uma senha em texto puro em algum lugar, você está fazendo errado. E hackers não dão colher de chá.

Fonte: CN.

Leia mais sobre: , , , .

relacionados


Comentários