Un chasseur de prime a découvert une vulnérabilité qui permettait d’accéder aux noms, adresses, emails et numéros de téléphone de 100 millions de clients de Starbucks. L’entreprise a corrigé le problème un jour après son signalement, et récompensé le hacker pour sa trouvaille.

Parfois, les failles sont découvertes et réparées avant d’être exploitées par des hackers malveillants. C’est le cas de cette vulnérabilité majeure dans le système de Starbucks, découverte par le chasseur de bug Sam Curry et détaillée dans un de ses billets de blog.

Alors qu’il achetait une carte cadeau sur le site de l’entreprise, le hacker a remonté une piste suspicieuse jusqu’à un accès aux données de 100 millions de clients de Starbucks. Il pouvait consulter leurs noms, adresses email, numéros de téléphone et adresses. Étant donné l’ampleur de sa trouvaille, il s’est empressé de prévenir l’entreprise. Il pense cependant qu’en creusant plus, il aurait pu « accéder à des éléments comme l’adresse de facturation, les cartes cadeaux, les récompenses ou les offres, puis les modifier. »

Vodeotheque.png

Starbucks a évité un scandale autour des données grâce à son programme de bug bounty. // Source : peargui/Pixabay

Sam Curry a déposé sa preuve de concept sur la plateforme de bug bounty de Starbucks le 16 mai. Le lendemain, la faille était réparée, et deux jours plus tard, il recevait une prime de 4 000€, la récompense maximale prévue par le programme.

Starbucks sauvé par son programme de bug bounty

Le hacker a commencé son enquête en remarquant plusieurs « API suspectes » pendant son achat d’une carte cadeau. Les sites sont généralement reliés à toutes sortes de logiciels par les API, ou interfaces de programmation, qui permettent d’intégrer certaines fonctionnalités.

Puisque Sam Curry gagne son pain en trouvant des bugs, et que Starbucks dispose d’un programme de bug bounty qui cadre le périmètre des recherches et le montant des récompenses, il s’est penché plus sérieusement sur la piste qu’il flairait.

Après plusieurs manipulations techniques détaillées dans son billet de blog, il est parvenu à remonter une des API jusqu’à une instance de Microsoft Graph non protégée. Ce service de Microsoft sert de passerelle pour accéder au large volume de données générées par Microsoft 365, Windows 10 ou encore Enterprise Mobility + Security.

Avec son accès, le hacker a pu lancer des fonctions comprises Microsoft Graph, qui lui ont permis de connaître le nombre total d’utilisateurs dans la base, de chercher certains noms précis ou encore de la télécharger. Bien évidemment, l’accès au Graph aurait dû être soumis à une procédure d’authentification. Et dans le cas où des malfaiteurs auraient mis la main sur ces données, ils auraient pu les utiliser pour alimenter leurs campagnes de phishing.

Si Starbucks a pu réparer cette vulnérabilité potentiellement dangereuse avant qu’elle ne soit exploitée, c’est notamment parce qu’elle disposait d’un programme de bug bounty interne. Ces programmes de sécurité, complémentaires des audits, sont encore peu répandus en France, alors que la majorité des grands groupes américains en ont un. La plateforme française YesWeHack et l’américain HackerOne, proposent de créer ces programmes pour le compte des entreprises, et de gérer les rapports entre elles et les entreprises. Mais certains grands groupes préfèrent gérer eux-mêmes cette relation.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !