星巴克拥有数百万的注册用户，他们在账户填写了自己的信用卡信息，而新发现的漏洞可能导致这些信息的泄露。

埃及的独立安全研究员Mohamed M.表示，他在星巴克上发现了三个严重漏洞。黑客可以通过利用其中简单的点击劫持漏洞，获取受害用户账号的权限。这三个漏洞分别是：远程代码执行;远程文件包含(钓鱼攻击);CSRF(跨站请求伪造)。

远程文件包含漏洞，黑客可以将任意地址的文件注入到该目标页面，其中包含源代码解析执行之类的攻击。

WEB服务器的远程代码执行漏洞，在客户端存在远程代码执行，黑客可以执行如XSS等攻击。通过钓鱼攻击可以进行数据窃取和操作，比如黑客可以窃取你在星巴克网站存储的信用卡信息。

使用CSRF劫持星巴克账户是指，黑客利用CSRF跨站请求伪造攻击，让一个合法用户代他们发起攻击,他们可以：说服人们点击他们的HTML页面;往目标站点插入任意HTML页面。在这种情况下，攻击者可以用CSRF诱骗用户点击URL，在不经意中更改存储的账户信息和密码。黑客可以劫持受害者的账户、删除帐户，或者改变受害者绑定的邮件地址。

作为一名正义的白帽子，Mohamed将漏洞两度报告给星巴克，但没有得到任何回应。

(责任编辑：腰编辑)