Raport, który ukazał się w zeszłym tygodniu wypunktował błędy w mobilnej aplikacji Starbucks dla systemu iOS – okazało się, że dzięki aplikacji można zobaczyć dane personalne każdego klienta kawiarni, który ją pobrał. Gigantowi należy się wielkie uznanie – biorąc pod uwagę, że nie jest firmą specjalizującą się w nowych technologiach, błyskawiczna reakcja na problem i wypuszczenie aktualizacji aplikacji potwierdza profesjonalizm.
Oczywiście nie jest tajemnicą, że Starbucks nie cierpi z powodu braku pieniędzy, jednak biorąc pod uwagę, że błędy zostały odkryte w grudniu i naprawione już w styczniu – firma wzbudza respekt. Ujawnienie słabości aplikacji i proces poszukiwania rozwiązań często pociąga za sobą wielomiesięczne uciekanie od odpowiedzialności producentów, szukanie dziury w całym oraz inne zawiłości.
Ale co powinni zrobić użytkownicy? Po pierwsze i zapewne najważniejsze: jeżeli masz zainstalowaną aplikację Starbucksa na swoim iPhonie, iPadzie lub innym „iUrządzeniu”, powinieneś niezwłocznie pobrać z App Store i zainstalować najnowsza aktualizację programu.
Oszczędzę Was i nie będę się rozwodził na temat technicznych szczegółów: aplikacje z błędami posiadają użytkownicy, którzy mają wersje sprzed 16 stycznia – włącznie z wersją 2.6.1 dla iOS. Żeby wszystko było oczywiste: najaktualniejszą wersją aplikacji niezawierającą błędów jest 2.6.2 dla iOS, którą oczywiście znajdziesz w App Store.
Wszyscy użytkownicy, którzy nie zaktualizują swojej aplikacji, narażeni są na ujawnienie swoich poufnych danych takich jak: pełne imię i nazwisko, adres, numery seryjne urządzeń oraz różne informacje związane z geolokalizacją – wymienia w swoim raporcie Chris Brook ( Threatpost).
Aplikacja kawowego giganta przechowywała wszystkie nasze informacje w postaci nieszyfrowanego tekstu, narażając je na jawność, w plikach logowania – łącznie z dodatkowym rozwiązaniem chroniącym przed możliwymi „wpadkami” zewnętrznej firmy z Bostonu: Crashlytics.
Daniel Wood, analityk i członek projektu Open Web Application Security Project (OWASP), który odnalazł błąd w aplikacji, uważa, że Starbucks nie miał by tego problemu, gdyby zastosował dobre praktyki dla ochrony aplikacji. Według Wood’a kawowy gigant powinien dokładnie testować swoje aktualizacje zanim zostaną wypuszczone w świat: „aby zabezpieczyć dane użytkowników przed gromadzeniem ich w niezaszyfrowanych plikach w Crashlytics”.
Ludzie z Crashlytics opracowali rozwiązanie dla twórców aplikacji mobilnych, które raportuje awarie i błędy. Starbucks zastosował ich technologię w swojej aplikacji, pomimo że wdrożone rozwiązanie nie działało poprawnie – a przynajmniej w pewnej części.
Jeden z założycieli Crashlytics, Wayne Chang przekazał swoje stanowisko drogą mailową Danielowi Wood’owi, autorowi raportu. Według Changa problem dotyczył jednego z narzędzi służących logowaniu. Kontynuując swoją odpowiedź, zakomunikował, że jego firma nie zbiera loginów i haseł automatycznie. Jest to dodatkowa funkcja (CLSLog), która jest opcjonalną propozycją – programiści aplikacji mogą (ale nie muszą!) ją wykorzystać do logowania dodatkowych informacji.
A jeżeli ten temat Cię zaciekawił, to pozwolę sobie dodać, że aplikacja Starbucksa pozwala swoim użytkownikom połączyć smartfona z kartą lojalnościową Starbucks, doładowywać konto przez PayPal albo kartę kredytową, a także pozwala używać swojego telefonu jako narzędzia do płacenia w kawiarniach Starbucks na całym świecie.