Non è tutto oro quello che si paga con lo smartphone. Anzi, un caffè può costare veramente caro. Soprattutto se i malintenzionati arrivano al proprio conto corrente passando dalla app di Starbucks, come è successo ad alcuni clienti della nota catena statunitense di caffetterie.
App hackerata
Pochi giorni fa la società ha riconosciuto l’irruzione di hacker negli account dei propri clienti, attraverso l’applicazione che permette agli stessi di pagare le loro consumazioni attraverso lo smartphone, ma anche di ricaricare gift card firmate Starbucks accedendo direttamente ai conti correnti, carte di credito e PayPal. Sarebbe stata proprio questa funzione a finire nel mirino dei delinquenti che si sono appropriati dei soldi delle vittime “autoregalandosi” delle gift card e ricaricandole con i soldi degli ignari frequentatori dei caffè.
Il ruolo di Paypal
CnnMoney ha raccolto diverse testimonianza di clienti raggirati, come quella di Jean Obando che lo scorso dicembre dopo aver pagato il conto col cellulare è stato sommerso di messaggi di PayPal che gli comunicavano, una dietro l’altra, continue ricariche da 50 dollari della sua carta Starbucks. E subito dopo il danno, la beffa: la mail della caffetteria dall’oggetto “Your eGift Just Made Someone’s Day“, il testo diceva “Un gran bel modo di trattare qualcuno se vuoi dirgli Buon Compleanno, Grazie o anche solo Questo è da parte mia”. Ne ha ricevute più di dieci in soli cinque minuti. Sin dall’inizio, dopo le prime contestazioni, Starbucks ha consigliato ai suoi clienti di recuperare i propri soldi contestando l’accaduto a PayPal. In questo modo Obando è riuscito a riavere indietro i suoi 550 dollari dopo due settimane, ma ha perso la fiducia che riponeva nel sistema di pagamento scelto dalla catena di caffè e ha deciso di disinstallare l’applicazione.
Un’esperienza simile l’ha vissuta anche Kristi Overton che si è vista soffiare sotto il naso ben 115 dollari. Stava lavorando alla sua scrivania in un negozio di carrozzeria in Alabama quando il telefono ha squillato per cinque volte. Qualcuno aveva fatto irruzione nel suo account Starbucks, aveva avviato la funzione di auto-ricarica e poi svuotato la carta regalo. Sia Starbucks che PayPal le hanno promesso che provvederanno a restituirle i suoi soldi. La catena di caffetterie si è difesa dicendo che non ha perso i dati dei propri clienti, anzi la colpa sarebbe da imputare alle password troppo comuni e per questo vulnerabili, scelte da alcuni di loro. La società non ha detto di voler incrementare i livelli di sicurezza del proprio sistema di pagamento, eppure è la seconda volta che si ritrova in un problema del genere. Già lo scorso anno qualcuno si accorse che l’applicazione Starbucks lasciato le password vulnerabili, perché le immagazzinava come se fosse un normale testo, senza codificarle. Visto che si tratta di un problema relativo all’accesso al proprio account, l’unico modo per proteggersi è quello di creare una password complessa e cancellare tutti gli strumenti di pagamento collegati al proprio account. Disabilitare la funzione di auto-ricarica purtroppo non basta.
