Les gens ont fait irruption dans mon application Starbucks et m'ont facturé 100 $

Le timing était parfait sur celui-ci.



La semaine dernière, tout comme je fini d'écrire une histoire concernant les « activités non autorisées » sur le système de paiement de Chipotle, j'ai reçu une alerte par e-mail de Starbucks. Il contenait un reçu pour recharger 100 $ sur mon application mobile Starbucks, en utilisant ma carte de crédit enregistrée.

Le problème, bien sûr, était que je n'avais rien à voir avec cette transaction. Au moment où j'ai ouvert l'application pour voir ce qui se passait, le fraudeur avait déjà effectué trois achats dans un Starbucks à San Diego : un pour 48,32 $, un pour 49,75 $ et un autre pour 15,83 $.



Au moment où j'étais au téléphone avec le service client, mon compte avait été complètement vidé.



Ce n'est pas une nouveauté - cela s'appelle une prise de contrôle de compte, et c'est un problème de longue date avec l'application Starbucks. En 2015, les clients de la chaîne de café signalé voir leurs comptes rechargés à l'aide de leurs cartes de crédit stockées, puis vidés, éventuellement sur des cartes-cadeaux que les escrocs ont ensuite vendues à prix réduit sur le marché noir.

À l'époque, la société avait déclaré que, comme de nombreux consommateurs réutilisaient les noms d'utilisateur et les mots de passe sur plusieurs sites et applications, les criminels obtenaient des identifiants volés sur des sites Web piratés et les essayaient dans l'application Starbucks.

'Nous avons une équipe d'ingénieurs dédiée à l'amélioration de nos capacités de sécurité et de prévention de la fraude', a déclaré la société dans une déclaration à l'époque.



Mais deux ans plus tard, l'application Starbucks semble toujours vulnérable à exactement la même faiblesse. Bien que l'application soit liée aux cartes de crédit des gens et capable de leur facturer de l'argent à volonté, la société a confirmé à BuzzFeed News qu'elle ne prend pas en charge l'authentification à deux facteurs – une mesure de sécurité généralisée qui implique généralement l'envoi d'un code par SMS à l'utilisateur. un message ou un e-mail lorsque vous essayez de vous connecter à partir d'un nouvel appareil.

C'est une faiblesse notable, étant donné que le paiement mobile représente désormais environ 25% de toutes les transactions Starbucks. Pour une chaîne qui a réalisé un chiffre d'affaires de 13,2 milliards de dollars au cours de l'exercice 2016 uniquement dans les magasins exploités par l'entreprise aux États-Unis, au Canada et en Amérique latine, cela signifie que des milliards de dollars transitent par l'application.

« Se fier aux noms d'utilisateur et aux mots de passe est un échec, car quoi que vous fassiez, il y aura toujours un certain pourcentage d'utilisateurs, probablement à deux chiffres, qui utiliseront un mot de passe qu'ils ont utilisé ailleurs », a déclaré le journaliste Brian Krebs, auteur de Krebs sur la sécurité .



« J'ai été surpris qu'en deux ans, Starbucks ne soit pas devenu plus agressif », a déclaré Rob LaMear, PDG de Cyber ​​coffre-fort américain . LaMear a déclaré que ses comptes Starbucks et ceux de sa femme avaient tous deux été récemment compromis. Avec une marque mondiale, il y a 'beaucoup de volume en jeu ici'.

Un porte-parole de Starbucks a déclaré dans un e-mail à BuzzFeed News que 'bien que l'activité de prise de contrôle de compte (ATO) soit un défi à l'échelle du secteur, nous ne voyons qu'une infime fraction d'un pour cent de nos titulaires de compte touchés'.

Pendant ce temps, un lent filet de plaintes des clients de Starbucks continue d'émerger sur les réseaux sociaux.

SHELBZ @Shellbeeanne

Mon application @Starbucks a été piratée et quelqu'un a rechargé ma carte avec 25 $ SIX FOIS.

04:49 - 02 mai 2017 Répondre Retweet Favori

Nathalie @NatalieCantor

Si votre application @Starbucks est liée à votre banque, DÉLIENNEZ-la ou supprimez votre compte ! Ils se rechargent. Je pense qu'ils ont été piratés !!

19h45 - 16 janvier 2017 Répondre Retweet Favori

Marc le roi @ MarkKing524

Attention, l'application @Starbucks est piratée. Ils ont frauduleusement utilisé une carte de débit stockée pour recharger leur carte, puis l'ont supprimée de mon application. 200 $

18:18 - 03 janv. 2017 Répondre Retweet Favori

Comme pour de nombreuses autres grandes chaînes de restaurants qui lancent leurs propres applications de commande et de paiement, le mobile est un élément essentiel du plan de croissance de Starbucks. Alors que les clients réguliers sont de grands fans de la commodité de ces applications, les entreprises bénéficient également des tonnes de données très détaillées qu'elles collectent sur les habitudes des clients.

Dans quelle mesure Starbucks envisage-t-il sérieusement de réussir le numérique ? Son PDG nouvellement nommé, Kevin Johnson, était auparavant PDG de la société de technologie Juniper Networks et était auparavant cadre supérieur chez Microsoft. Le mois dernier, Johnson a désigné les 'relations numériques avec les clients' comme l'une des 'choses les plus importantes pour l'avenir' de l'entreprise.

Interrogé sur le déploiement de l'authentification à deux facteurs, Starbucks a déclaré : « Bien que nous ne partagions pas de détails sur les futurs calendriers ou pratiques des protocoles de sécurité, nos équipes de sécurité et de lutte contre la fraude continuent activement à développer et à investir dans des mesures de protection améliorées, renforçant encore notre plates-formes.'

Le service client de Starbucks a déclaré qu'il annulerait les frais de 100 $ avec ma société de carte de crédit et rembourserait le solde qui se trouvait sur mon compte avant qu'il ne soit compromis. Le représentant m'a fait changer mon mot de passe alors que j'étais encore au téléphone avec elle.

Votre compte Starbucks a-t-il été compromis ? Pour contacter le journaliste à propos de cette histoire, envoyez un e-mail à venessa.wong@buzzfeed.com, ou rendez-vous sur tips.buzzfeed.com pour savoir comment envoyer votre pourboire en toute sécurité.

Chipotle dit que son système de paiement a peut-être été piraté