用戶App餘額遭盜用，美國星巴克否認被駭

本周美國傳出有駭客針對星巴克（Starbucks）行動程式進行攻擊，取得該程式用戶的登入憑證，並用來購買禮物卡，再於黑市上銷售。星巴克證實了駭客的行為，但否認程式含有漏洞，指出駭客是藉由其他管道取得使用者的登入憑證。

星巴克為全球知名的連鎖咖啡門市，該公司所打造的同名行動程式提供星巴克的各種最新消息及活動，可用來尋找最近的門市，還具備隨行卡及禮物卡功能，可直接用來消費或是購買禮物卡送給友人，該程式連結了使用者信用卡與PayPal帳號，並支援自動儲值功能。

不過，最近有多起星巴克程式帳號遭到盜用的事件浮上檯面，有駭客挾持了用戶的憑證，並利用相關帳號的自動儲值功能購買了多張禮物卡。目前曝光的受害者損失都在幾百美元之譜，外界猜測，駭客透過黑市銷售這些禮物卡來牟利。

曾有人懷疑是星巴克的系統被入侵或是程式漏洞，然而星巴克很快就出面澄清表示，的確有用戶抱怨帳號被盜用，但這主要是因為駭客從他處取得了使用者的帳號與密碼，再嘗試以同樣的憑證登入星巴克程式。為了保障用戶的安全，星巴克建議使用者在不同的服務中要使用不同的憑證，特別是與金融資訊有關的服務。

根據估計，目前星巴克程式約有1600萬使用者，去年在美國星巴克門市的交易中就有16%是透過星巴克程式。此外，去年底的送禮旺季，有超過1/7的美國人都收到星巴克的禮物卡。

即使星巴克否認是系統或程式含有安全漏洞，但也強調用戶不必替被盜用的款項負責。安全專家則建議星巴克應該要採用雙因素認證機制來保護使用者憑證，並限制密碼輸錯次數。（編譯/陳曉莉）