O incidente de segurança
O grupo de ameaças ShadowByt3s assumiu a responsabilidade por um novo ciberataque à Starbucks, alegadamente roubando 10GB de código-fonte proprietário e firmware operacional. Os dados foram supostamente raspados de um bucket Amazon S3 mal configurado chamado "sbux-assets" como parte de uma campanha mais ampla visando vulnerabilidades em nuvem.
Um ator de ameaça operando sob o moniker "BlackVortex1" postou em um fórum da dark web alegando ter exfiltrado propriedade intelectual que essencialmente "faz a Starbucks ser a Starbucks". O grupo afirma que está escaneando ativamente e explorando configurações incorretas em nuvem para colher dados corporativos sensíveis.
Dados comprometidos e hardware operacional
De acordo com a prova de comprometimento do ator de ameaça, os dados roubados incluem tecnologia operacional altamente sensível que funciona como os controladores digitais para as máquinas físicas das lojas da Starbucks. Os arquivos vazados supostamente contêm:
- Firmware de dispensadores de bebidas (.hex files) para controladores principais como componentes Siren System e placas de motor Blue Sparq.
- Software da máquina de espresso Mastrena II, incluindo código de interface de tela de toque e configurações de motor de passo.
- Ativos FreshBlends contendo pacotes de UI proprietários, proporções de ingredientes e lógica de precificação para estações de smoothie automatizadas.
Além do firmware de máquinas físicas, o vazamento supostamente compromete várias utilidades de gerenciamento web internas da Starbucks. Os hackers afirmam possuir código-fonte para um "New Web UI" centralizado usado para gerenciar máquinas e hardware em regiões internacionais.
Implicações de segurança e extorsão
O ShadowByt3s emitiu um prazo de extorsão de 5 de abril de 2026, às 17:00, ameaçando vazar todo o conjunto de dados publicamente se a Starbucks não pagar o resgate. Este roubo de propriedade intelectual segue de perto um incidente de segurança separado divulgado pela Starbucks em março de 2026, onde uma campanha de phishing de coleta de credenciais comprometeu 889 contas de "Partner Central".
Enquanto o vazamento anterior expôs dados financeiros de funcionários e números de segurança social, este novo incidente foca inteiramente em infraestrutura corporativa e ativos operacionais. A exposição de firmware de máquinas de café pode permitir que atacantes modifiquem o comportamento das máquinas, potencialmente causando falhas operacionais ou introduzindo backdoors.
Lição para organizações
Este incidente destaca a importância crítica da configuração segura de buckets de nuvem e do controle de acesso. Organizações devem revisar permissões de S3, implementar políticas de bloqueio de bucket público e monitorar acessos anômalos a dados sensíveis. A proteção de propriedade intelectual e firmware operacional é tão vital quanto a proteção de dados de clientes.