駭客入侵星巴克app 竊取帳戶金額 已多人受害

鉅亨網編譯 蔡騰輝 綜合外電

以往駭客從信用卡、銀行或是Paypal偷錢，現在連星巴克的手機支付程式都成了駭客的提款機。

星巴克的app讓民眾可以快速付款，並且可以從帳戶、信用卡或是PayPal直接加值。但這方便的功能卻為駭客打開方便竊取之門。駭客入侵民眾的星巴克app後，創建一個新的支付帳戶，再以加值方式把錢偷走。

第一位發聲的是同為星巴克消費者的記者Bob Sullivan。以下是CNNMoney最近訪問此類案件受害者的情況。

其中位於德州的顧客Obando上班途中買了杯星巴克後，還在通勤的路上，手機就不斷顯示自動加值50美元。五分鐘之內，他的星巴克app沒有與他確認，就自動加值了10次。Obando向星巴克反應要求停止支付與加值並且退款，星巴克卻要他自己去與第三方支付服務商PayPal反應。將星巴克app刪除的他，耗時兩周才拿回他被偷走的550美元。身為休士頓高中科技部門人員的他決定以後只用現金或是信用卡付款。這顯示星巴克沒有與顧客進行第二次的確認，就直接從帳戶扣款的大漏洞。

另一名位於阿拉巴馬的受害者Overton的星巴克app也在短時間內被自動儲值五次，而app內的金額也全被提領一空。即指星巴克與PayPal承諾將退回她被偷走的115美元，但卻挽回不了消費者對於星巴克app的信任。

透過CNNMoney，星巴克澄清公司內部絕無受駭客入侵，也沒有外洩顧客資料。之所以會發生此類盜用事件，可能是因為顧客設的密碼過於簡單。星巴克建議顧客的密碼要由大小寫以及特殊符號共同組成。網路安全公司Lancope的主管Gavin Reid說，即便如此，星巴克還是有改進的空間與方式。相較之下，像是最安全的線上服務系統Gmail與Twitter都會請使用者進行第二次的身分確認與授權。傳簡訊到手機通知使用者，其帳號正在其它裝置上登入，請確認本人是否同意，如果不同意請進行相關處理。

即便這不是星巴克第一次被投訴的資安問題，星巴克仍舊不保證日後會加上第二道安全確認機制，只保證顧客被駭客入侵的所有損失，星巴克將全數補償。