Reklama

Sklep z pozdrowieniami online Moonpig wystawiał hakerów dane klientów przez co najmniej 15 miesięcy, pomimo ostrzeżeń eksperta, że ​​istnieje dziura, którą należy zatkać.

Tutaj jest wiele lekcji. Po pierwsze: korporacyjna arogancja jest niebezpieczna. Po drugie: ważne jest, aby klienci edukowali się i upewniali, że firmy starają się zapewnić im bezpieczeństwo. Po trzecie: „znana nazwa” niekoniecznie jest bezpieczna.

Moonpig to internetowy sklep z pozdrowieniami, który sprzedaje niestandardowe karty i kubki za pośrednictwem swojej strony internetowej. Niezwykle popularny (dzięki regularnym reklamom telewizyjnym), Moonpig wysłał 6 milionów kart w Wielkiej Brytanii w 2007 roku. Chociaż jest to strona brytyjska (z siedzibą w Londynie i Channel Island of Guernsey), jest to sytuacja, która dotyka kupujących i właścicieli sklepów internetowych na całym świecie.

The Moonpig Hack: Co się stało?

W 2013 r. Deweloper Paul Price odkrył, że żądania mobilnego interfejsu API w witrynie Moonpig.com mogą zostać zhakowane, umożliwiając tym samym przestępcom włamanie się na dowolne konto. Ponadto można przeglądać dane, takie jak nazwiska klientów, data urodzenia, adres, data ważności karty kredytowej i ostatnie cztery cyfry karty.

instagram viewer

muo-security-moonpig-hack-card

Strony internetowe, które oferują zakupy online, zwykle zapewniają ograniczniki szybkości, które zmniejszają wpływ automatycznych skryptów, ale Moonpig tego nie zrobił, co czyni go łatwym, otwartym celem dla hakerów.

Początkowo poinformowany przez Price o luce w połowie 2013 r., Moonpig twierdził, że natychmiast ją naprawi; 18 miesięcy później luka pozostała.

Powiedział Price, kiedy on opublikowano szczegółowe informacje o luce w zabezpieczeniach online:

„W swoim czasie widziałem na wpół arsenał środki bezpieczeństwa, ale to tylko biszkopt. Każdy, kto jest architektem tego systemu, musi zostać podbity. Każde żądanie interfejsu API wygląda tak: w ogóle nie ma uwierzytelnienia i możesz podać dowolny identyfikator klienta, aby podszyć się pod niego. Osoba atakująca może łatwo składać zamówienia na kontach innych klientów, dodawać lub pobierać informacje o karcie, przeglądać zapisane adresy, przeglądać zamówienia i wiele więcej. ”

Zasadniczo wykorzystywano uwierzytelnianie podstawowe, a dane konta ujawniano bez sprawdzania autentyczności.

Price zdecydował się opublikować hack po tym, jak Moonpig odpowiedział na swój dalszy kontakt we wrześniu 2014 r., Aby wprowadzić poprawkę do Bożego Narodzenia. Kiedy ujawnił wszystko 5 styczniath, jeszcze nie został podłączony.

Reakcja Moonpiga na włamanie

Lekcja tej historii nie polega na hakowaniu - coraz częściej zdarzają się w branży zakupów online - ale na postawie firmy i jej znaczeniu dla konsumentów.

Jeśli weźmiemy pod uwagę liczbę włamań w ciągu ostatnich kilku lat, takich jak wciąż nie wyjaśniony wyciek na eBayu Naruszenie danych w serwisie eBay: co musisz wiedzieć Czytaj więcej i Cel utraty 40 milionów kart kredytowych Cel potwierdza do 40 milionów klientów w USA Karty kredytowe Potencjalnie zhakowaneTarget właśnie potwierdził, że włamanie mogło narazić dane karty kredytowej nawet na 40 milionów klientów, którzy zrobili zakupy w amerykańskich sklepach między 27 listopada a 15 grudnia 2013. Czytaj więcej wtedy możemy zobaczyć, że wydaje się, że w najlepszym razie istnieje ignorancja, aw najgorszym przypadku absolutna samozadowolenie, w kwestii bezpieczeństwa online.

Weźmy na przykład odpowiedź Moonpiga na wiadomości:

Jesteśmy świadomi roszczeń dotyczących danych klientów i możemy potwierdzić, że wszystkie hasła i informacje dotyczące płatności są i zawsze były bezpieczne.

- Tombpig? (@MoonpigUK) 6 stycznia 2015 r

Ta próba ograniczenia szkód została natychmiast odwołana:

.@MoonpigUK Oprócz nazw, dat ważności i ostatnich 4 cyfr, które były dostępne przez interfejs API od ponad 17 miesięcy… @Charlotteis

- James Seymour-Lock (@JamesSLock) 6 stycznia 2015 r

Pomijając katastrofę PR, Moonpig nie jest w stanie poradzić sobie z tym problemem w odpowiednim czasie znaczenie regularnych testów penetracyjnych w witrynach internetowych oraz reagowania na bezpieczeństwo porady niezwłocznie.

Jak klienci mogą czerpać korzyści z luk w zabezpieczeniach?

Nie jest jasne, czy jakiekolwiek dane zostały skradzione Moonpigowi przez tę lukę, a na podstawie dotychczasowych wysiłków ograniczenia szkód prawdopodobnie nie udostępniliby informacji, nawet gdyby je mieli.

Niekończące się problemy z bezpieczeństwem zakupów online w ciągu ostatnich 24 miesięcy zaczęły podważać zaufanie do branży. Chociaż na tym etapie eBay niewiele rozdaje, na przykład (i nigdy nie potwierdził, w jaki sposób ich dane zostały zhakowane), tak jest niezwykłe dążenie do darmowych ofert i innych bonusów w połowie 2014 roku sugeruje, że wielu użytkowników pozostało z dala.

muo-security-moonpig-hack-card2

Poza wszczęciem postępowania cywilnego przeciwko tym firmom, jedyne prawdziwe kroki, jakie klienci mogą podjąć przeciwko rażącemu niewłaściwemu wykorzystaniu i niepewności swoich danych (a jeśli jesteś klientem Moonpig.com, warto sprawdzić obietnice bezpieczeństwa danych w oryginalnych warunkach), głosuj za ich portfele.

Wraz z eksplozją usług kurierskich i dostaw dronów, rozległymi magazynami w całym kraju i rozległymi dostawami, Amazon udowadnia, jak realizować zamówienia klientów i chronić swoje dane (do tej pory). Inne firmy powinny używać Amazon jako przykładu, a nie szorstkiego szablonu do naśladowania. Nieprzestrzeganie tego może skutkować jedynie zakończeniem zakupów online - lub całkowitą dominacją Amazon.

Tylko podejmując kroki, aby robić zakupy w innym miejscu, możemy czerpać korzyści ze sklepów internetowych poważnie podchodzących do swoich obowiązków.

Nie rezygnuj jeszcze z zakupów online: po prostu kupuj mądrzej

W ciągu ostatnich kilku lat widzieliśmy o wiele za dużo zhakowanych wielkich nazwisk. Ale te włamania i kolejne wycieki danych nie oznaczają, że musisz pozostać klientem. W rzeczywistości powinieneś zrobić coś przeciwnego i udać się do bezpieczniejszych konkurentów lub zamiast tego robić zakupy lokalnie. Jeśli jesteś przyłapany na robieniu zakupów w witrynie zaatakowanej przez hakerów, możesz także rozważ te alternatywne opcje Store You Shop At Get Hacked? Oto co należy zrobić Czytaj więcej .

Oczywiście możesz mieć lepsze rozwiązanie. Dlatego użyj komentarzy, aby go udostępnić, i wszelkich powiązanych historii.

Źródło zdjęcia: Zakupy online przez Shutterstock

Christian Cawley jest zastępcą redaktora ds. Bezpieczeństwa, Linux, DIY, programowania i technologii. Jest także producentem The Really Useful Podcast i ma duże doświadczenie w obsłudze komputerów stacjonarnych i oprogramowania. Współtwórca magazynu Linux Format, Christian majsterkowicz Raspberry Pi, miłośnik Lego i miłośnik gier retro.