Appendix

広告

Entries

スターバックスのカードバグ発見者への仕打ちがひどいと話題に


 日本のスターバックスの話ではありません。

●スターバックスのカードでバグ発見、コーヒーが飲み放題に!

 以下のような経緯だそうです。

(1)スターバックスカードを購入して使用していたセキュリティコンサルタントのEgor Homakovさんは、カードとシステムの脆弱性を利用して無限にコーヒーを注文する方法を発見。これは「競合状態(race condition)」と呼ばれるオンライン上で金銭を取り扱うサイトなどでよくみられる脆弱性を利用するもの。

(2)Egorさんはまずスターバックスカードを3枚購入し、2つの異なるブラウザで同一のスターバックスアカウントにアクセスしながら、カード間で送金を繰り返してみた。

(3)残高が5ドル(約600円)だったカードAから残高10ドル(約1200円)のカードBに5ドルを移動させてみると、カードAには5ドルが残ったまま、カードBの残高を15ドル(約1800円)に増やすことに成功。

(4)さらに、実店舗でもカードの処理を失敗させることができるのか実験するため、サンフランシスコにあるスターバックスで2枚のカード、合計20ドル(約2400円)分を使って16.70ドル(約2000円)を支払う実験をする。20ドルから16.70ドルを引いた残高は3.30ドルのはずなのに、残額は5.70ドルになった。


●スターバックスのカードのバグ発見者への仕打ちがひどいと話題

 実験が成功したため、Egorさんはこの問題をスターバックスに報告しました。すると、"バグ発見の功績として1000ドルの報奨金を支払う"と言われたそうです。

 ところが、"のちに実際の担当者からからはお礼を言われるどころか「悪意のある行為だ」と、実店舗での検証行為をとがめる電話がかかってき"ました。

 "これに対してEgorさんと彼を支持する一部のTwitterユーザーはスターバックスを猛烈に批判してい"るそうです。はてなブックマークでも非難轟々でした。


findelight これはスタバの対応の頭のおかしさが際立つ。ファスナーが空いてますよと教えた人に「痴漢!!」と詰め寄ってくるかのようだ。 2015/05/26

shufuo これはお礼をしないとバチが当たる案件だね。ハワード・シュルツは知っているのかな。 2015/05/26

rti7743 1000ドルぐらい払えばいいのにな。 次から誰も報告してくれなくなるよりマシだと思う。 2015/05/26


 今回の件に関係なところまで非難されてしまっています。極めてまずい対応でした。


kimurahayao とりあえず、スターバックス国分寺店は、路上禁煙地区に接する場所にテラス席を設置し、そこを喫煙場所として周囲に副流煙を垂れ流すようなことはしないでほしい。私にとってスターバックスという企業はそんな程度。 2015/05/26


●脆弱性の発見を喜ぶべき理由

 スターバックスが責められていることが理解できない人もいるかもしれません。ただ、バグ発見を感謝するというのは、IT企業ならスタンダードな対応なのです。以下のようなコメントはそれを象徴しています。


outroad FacebookとかGoogleだったらめっちゃお礼もらえる案件でしょ、バグの発見・報告って。検証までしてるし。 2015/05/26


 「次から誰も報告してくれなくなる」とあったように、セキュリティの脆弱性の発見者を責めることは得策ではありません。それどころか大いに感謝し、大いに褒めるべきであり、だからこそ報奨金まで渡そうという企業が現れるのです。

 トラブルや不正で損失を被る可能性を考えると、むしろお金を払ってでも脆弱性を見つけてもらおうというのは、合理的なやり方です。
「バグを見つけてお金をもらえる?」、各社が始める報奨金施策の狙いとは 2014年07月08日 15時00分 UPDATE[Brandan Blevins,TechTarget]

 近年、一部の大手テクノロジー企業がセキュリティの脆弱性をできるだけ早く見つけて修正するために「バグ報奨金プログラム」を導入している。バグ報奨金プログラムを導入する企業をサポートするサードパーティーベンダーの市場も活発化している。(中略)

 報奨金を提供する目的は、できる限り多くのセキュリティ調査員の目をコードの脆弱性に向けさせることにある。数カ月~数年間気付かないまま放置され、脆弱性として悪用される可能性がある欠陥を修正できることを期待している。

 バグの報奨金の金額は企業によって大きく異なる。例えば、米Facebookの「Facebook Bug Bounty」では一定の条件を満たす脆弱性には最低500ドルの報奨金が支払われる。一方、米Google「Patch Rewards Program」の報奨金はより高額だ。リモートで実行できる危険な脆弱性には最大2万ドルの報奨金が支払われる。

●時代遅れのダサい対応をしたスターバックス

 はてなブックマークで非難が強かったというのは、ここのユーザーはもともとIT関係の技術者が多く、こういったしくみを理解している人が多いためです。一方、そうじゃない人がピンと来ないことがあっても不思議はないと思います。

 ただ、スターバックスはIT関係の企業ではないものの、最先端といったイメージのある企業ですからね。こんな時代遅れのダサい対応をしてしまうというのは、予想外でした。

 あと、そういえば、日本ではGMOインターネットの会長がウェブサービスで改ざん事件が起きているのを発見した人をどやしつけたことがありました。IT企業なのに…。これも極めて格好悪い対応でした。
(関連:ロリポップ改竄事件・熊谷正寿GMOインターネット会長の対応がヤバい)

 まあ、GMOインターネットの場合はそんなものかなとも思います。でも、スターバックスがこういった物事の大小を見極められない企業だというのいうのは、本当意外でしたわ。


 関連
  ■鳥取県にスタバはなくても「すなば珈琲」はある 本家進出でも歓迎の理由
  ■スターバックスこっそりコーヒーを減量 問われて初めて「いっぱいだとこぼれる」と説明
  ■ロリポップ改竄事件・熊谷正寿GMOインターネット会長の対応がヤバい
  ■ミスタードーナツのコンビニドーナツへのコメントに好意的な反応
  ■すき家が薬局参入?ローソンはクオールと提携してコンビニと併設
  ■ステーキけん・井戸実社長の炎上しない対応が謎 サラダバーにカビ
  ■東京チカラめし全店舗閉鎖はデマ、倒産もせず 神戸らんぷ亭買収も
  ■食べ物・飲み物・嗜好品についての投稿まとめ

Appendix

広告

ブログ内 ウェブ全体
【過去の人気投稿】厳選300投稿からランダム表示









Appendix

最新投稿

広告

定番記事

世界一スポーツ選手の平均年収が高いのはサッカーでも野球でもない
チャッカマンは商標・商品名 じゃあ正式名称・一般名称は何?
ジャムおじさんの本名は?若い頃の名前は?バタコさんとの関係は?
ワタミの宅食はブラックじゃなくて超ホワイト?週5月収10万円
朝日あげの播磨屋、右翼疑惑を否定 むしろ右翼に睨まれている?
レーシック難民は嘘くさいしデマ?アメリカの調査では驚きの結果に
赤ピーマンと赤黄色オレンジのパプリカの緑黄色野菜・淡色野菜の分類
アマゾンロッカーってそんなにすごい?日本のコンビニ受け取りは?
就職率100%国際教養大(AIU)の悪い評判 企業は「使いにくい」
ミント・ハッカでゴキブリ対策のはずがシバンムシ大発生 名前の由来はかっこいい「死番虫」
移動スーパーの何がすごいのかわからない 「とくし丸」は全国で約100台
ビジネスの棲み分け・差別化の具体例 異業種対策には棲み分けがおすすめ
主な緑黄色野菜一覧 と 実は緑黄色野菜じゃない淡色野菜の種類
タコイカはタコ?イカ?イカの足の数10本・タコの足8本は本当か?
トンネルのシールドマシンは使い捨て…自らの墓穴を掘っている?
ユリゲラーのポケモンユンゲラー裁判、任天堂が勝てた意外な理由
好待遇・高待遇・厚待遇…正しいのはどれ?間違っているのはどれ?
コメダ珈琲は外資系(韓国系)ファンドが買収したって本当? MBKパートナーズとは?
大塚家具がやばい 転職社員を通報、「匠大塚はすぐ倒産」とネガキャン
不人気予想を覆したアメリカのドラえもん、人気の意外な理由は?

ランダムリンク
厳選200記事からランダムで









アーカイブ

説明

書いた人:千柿キロ(管理人)
サイト説明
ハンドルネームの由来

FC2カウンター

2010年3月から
それ以前が不明の理由