Sicurezza della funzionalità di riscatto della carta regalo di Starbucks

0

Qualcuno mi ha mandato una carta regalo Starbucks. L'e-mail conteneva un link per il riscatto e quel link per il riscatto terminò con un lungo hash sicuro, proprio come quelli sugli elenchi segreti di github.

Facendo clic sul link di redemption mi portai a una pagina con un singolo campo modulo, chiedendomi di inserire l'indirizzo email al quale il link è stato inviato. Dopo aver inserito la mia email, sono stato indirizzato a una pagina che mostra l'equivalente dell'immagine di una carta regalo con il rivestimento protettivo graffiato - un numero di carta di credito che, inserito o scansionato nell'app starbucks, accredita il tuo conto con denaro . Quel numero, credo, avrebbe potuto essere inserito da chiunque per richiedere il denaro.

La mia domanda è: perché mi chiedi di confermare l'indirizzo email? Fornisce una sicurezza aggiuntiva oltre al collegamento con hash stesso? Mi sembra che la sicurezza sia fornita dal collegamento hash, e se quel collegamento è stato compromesso, in tutti i casi il mio indirizzo e-mail sarebbe stato compromesso (ad esempio, se qualcuno avesse violato il mio account e-mail o letto l'e-mail in transito).

Ovviamente, in teoria sta impedendo un attacco di forza bruta da parte di qualcuno che indovina casualmente gli hash, ma lo spazio di ricerca è così massiccio che sembra una precauzione inutile presumendo che l'hash sia stato generato in modo sicuro.

    
posta Jonah 23.06.2014 - 06:00
fonte

1 risposta

1

Per quanto posso dire, l'idea è che anche se l'URL viene divulgato a qualcuno che non sei tu, la tua carta regalo è ancora protetta.

Certo, è piuttosto rudimentale, soprattutto dal momento che gli indirizzi e-mail non sono affatto privati, ma generalmente il furto di carte regalo Starbucks non è qualcosa a cui molte persone potrebbero facilmente aggirare la convalida della posta elettronica.

E probabilmente rende le persone che non sono molto sicure di sicurezza si sentono più sicure.

    
risposta data 23.06.2014 - 06:28
fonte

Leggi altre domande sui tag