转载

小心！黑客盯上了你的星巴克卡

　　英文原文：Hackers are draining bank accounts via the Starbucks app

　　创见干货：一直以来，小偷们的目标都是你的银行卡、信用卡和支付宝，现在，他们更进一步，又盯上了你装在的手机里的星巴克 App。

　　星巴克官方本周承认了黑客通过星巴克 App 侵入消费者个人帐户的事实。星巴克 App 可以在手机端进行支付，也可以自动从绑定的银行卡或信用卡账户转出资金来获得星巴克礼品卡。罪犯正是抓住了这一点窃取了受害者钱。他们侵入受害者的线上星巴克账户，添加一个新的礼品卡，再从银行卡里转移资金过去，每次初始卡片加载时不断重复此过程，钱就被偷走了。

　　这一犯罪手法最先由一个叫 Bob Sullivan 的记者报道出来，CNN 就此采访了近几个月遭受过这种损失的星巴克消费者，了解了他们被盗的情况。

小心！黑客盯上了你的星巴克卡

　　去年 12 月 7 号晚上，Jean Obando 就遇到了这种事。他在德克萨斯州 Sugar Land 的一家星巴克店里点了一杯咖啡并用手机付了款，当开着车在高速公路回家的时候，手机发出了一连串的警报声。PayPal 不断地提醒他星巴克卡自动转出了 50 美金。然后就收到了来自星巴克的 Email——「您的 eGift 卡已经被使用，不管是给朋友的生日祝福还是自己的奖赏，我们感谢您的消费。」在 5 分钟之内就收到可至少 10 封这样的邮件。

　　整个犯罪过程十分顺利，星巴克 App 没有停止任何一个不合理的操作，更没有向 Obando 寻求继续操作的许可。在那之后 Obando 向星巴克反应自己的账户可能被盗的时候，星巴克仅仅表示自己会作出检讨，对于 Obando 提出的停止支付和赔偿被偷的钱，星巴克告诉他这些需要由 PayPal 赔付。

　　后来 Obando 花了两周的时间要回了自己的 550 美金。这次的意外事件让 Obando 意识到星巴克 App 从消费者银行帐户中自动转钱时并没有足够的安全保护措施。

　　Obando 目前在休斯顿高中技术部门工作，他说自己已经卸载了星巴克 App，也劝大家别再使用该 App 了。他表示自己已经不再信任星巴克网上支付系统，现在付款都是直接使用信用卡或者现金。

　　数据显示，从星巴克账户里盗取的钱都进入了同一个账户，该账户的注册 Email 地址是 tranlejame3@yahoo.com，目前还没有关于这一账户拥有者的任何信息。

　　与此同时，本周一早上一位名叫 Kristi Overton 的消费者也遭受了损失，当时她正在位于阿拉巴马州弗洛伦斯的工作室工作，她的手机突然响了五次。有人侵入了她的星巴克账户，开启了自动重新加载功能，然后反复清空她现有的礼品卡。仅仅几秒钟的时间黑客就偷走了 115 美金，幸运的是没有触发银行透支费。星巴克和 PayPal 都表示会补偿她丢失的资金。

　　Overton 表示，想侵入一个人的银行账户简直太容易了，星巴克 App 的安全功能需要进行重大更新才行。目前，她也卸载了星巴克 App。

小心！黑客盯上了你的星巴克卡

　　星巴克官方向 CNN 表示他们并没有被黑客入侵，用户的数据也没有泄露。账户的泄露可能是由于消费者设置的密码太过简单，所以星巴克建议消费者把密码改为更加复杂的强密码。

　　Kristi Overton 的情况确实如此，她承认自己在 Email 和星巴克账户上使用了同样的密码。另一个来自德州 Austin 的消费者 Nicole McCool 也被人从星巴克账户中偷走了 100 美元，导致她的借记卡无法使用，10 天不能进行支付，她也因此重置了密码。

　　针对这件事，星巴克能做的不仅仅只是建议大家改密码，它应该做的更多。很多知名的网络服务商（如 Gmail、Twitter 和 LinkedIn）都为用户提供了两步身份验证，每次登陆新的设备时都需要填写手机验证码。来自网络安全公司 Lancope 的 Gavin Reid 表示，两步身份验证可以大大提高星巴克用户的账户安全等级。

　　关于在系统中添加新的安全措施一事，星巴克官方并没有明确表态。但是它承诺消费者因账号安全问题而损失的资金都可以无偿全额赔付。

　　这已经是星巴克第二次遇到支付系统安全问题了，去年有人就发现星巴克 App 的密码仅仅是以纯文本的形式储存，没有任何保护措施，极易受到攻击。由于本次的黑客事件涉及账户，禁用自动转钱功能是不够的，黑客还是会自己打开的，所以对消费者来说唯一有效的自我保护措施就是设置一个更安全的密码，并且取消任何绑定星巴克的付款方法。

　　本文来源：CNN，由 TECH2IPO 创见 @Suki 为您编译。

正文到此结束