Publicitate

Magazinul online de carduri de felicitări Moonpig a expus datele clienților hackerilor timp de cel puțin 15 luni, în ciuda avertismentelor unui expert că a existat o gaură care trebuia conectată.

Există mai multe lecții aici. Primul: aroganța corporativă este periculoasă. În al doilea rând: este important pentru clienți să se educe și să se asigure că companiile lucrează pentru a le asigura. Și al treilea: un „nume cunoscut” nu este neapărat unul sigur.

Moonpig este un magazin online de felicitări care vinde cărți și cani personalizate prin site-ul lor. Foarte popular (grație publicității TV obișnuite), Moonpig a livrat 6 milioane de carduri în Marea Britanie în 2007. În timp ce un site britanic (cu sediul la Londra și Channel Island of Guernsey), aceasta este o situație care afectează cumpărătorii și proprietarii de magazine online din întreaga lume.

Hackul Moonpig: Ce s-a întâmplat?

În 2013, dezvoltatorul Paul Price a descoperit că cererile de API-uri mobile pe site-ul Moonpig.com pot fi hackate, permițând astfel hackerilor criminali să plaseze comenzi pe orice cont. În plus, ar putea fi vizualizate date precum numele clienților, data nașterii, adresa, expirurile cardului de credit și ultimele patru cifre ale cardului.

instagram viewer

Muo-securitate-moonpig-hack-card

Site-urile care oferă cumpărături online oferă, de obicei, limitatori de rate care reduc impactul scripturilor automatizate, dar Moonpig a omis să facă acest lucru, ceea ce îl face o țintă ușoară și deschisă pentru hackeri.

Informat inițial de Price despre vulnerabilitatea de la mijlocul anului 2013, Moonpig a susținut că îl vor repara imediat; 18 luni mai târziu, vulnerabilitatea a rămas.

A spus Price când el a publicat detalii despre vulnerabilitate pe net:

„Am văzut niște măsuri de securitate înjumătățite în timpul meu, dar asta are doar biscuitul. Oricine arhitect acest sistem trebuie să fie bordat. Fiecare solicitare API este astfel: nu există deloc autentificare și puteți transmite orice ID de client pentru a le înlocui. Un atacator ar putea plasa cu ușurință comenzi în alte conturi de clienți, adăuga sau prelua informații despre carduri, vizualiza adrese salvate, vizualiza comenzile și multe altele.

În esență, se folosea autentificarea de bază și se revelau datele contului fără verificări de autentificare.

Price a decis să facă public cu hack-ul după ce Moonpig a răspuns contactului său de urmărire, în septembrie 2014, pentru a avea rezolvarea până la Crăciun. Când a dezvăluit totul pe 5 ianuarielea, încă trebuia să fie conectat.

Reacția lui Moonpig la hack

Lecția acestei povești nu se referă atât la hack - se întâmplă din ce în ce mai mult în industria cumpărăturilor online, ci despre atitudinea companiei și ce înseamnă acest lucru pentru consumatori.

Dacă avem în vedere volumul de hacks din ultimii doi ani, cum ar fi scurgere eBay încă neexplicată Încălcarea datelor eBay: Ce trebuie să știți Citeste mai mult și Tinta care pierde 40 de milioane de carduri de credit Ținta confirmă până la 40 de milioane de carduri de credit din SUA potențial hackateTarget tocmai a confirmat că un hack ar fi putut compromite informațiile despre cardul de credit până la o perioadă mai mare de timp 40 de milioane de clienți care au făcut cumpărături în magazinele sale din SUA între 27 noiembrie și 15 decembrie 2013. Citeste mai mult atunci putem vedea că pare să existe, în cel mai bun caz, o ignoranță, în cel mai rău grad de complianță, față de securitatea online.

Ia, de exemplu, răspunsul Moonpig la știri:

Suntem conștienți de reclamațiile referitoare la datele clienților și putem confirma că toate parolele și informațiile de plată sunt și au fost întotdeauna în siguranță.

- Tombpig?? (@MoonpigUK) 6 ianuarie 2015

Această încercare de limitare a daunelor a fost imediat chemată:

.@MoonpigUK În afară de nume, date de expirare și ultimele 4 cifre, care au fost accesibile prin intermediul API-ului dvs. de mai mult de 17 luni... @Charlotteis

- James Seymour-Lock (@JamesSLock) 6 ianuarie 2015

Deoparte de relații publice, deopotrivă, incapacitatea lui Moonpig de a aborda problema în timp util evidențiază acest aspect importanța testării de penetrare periodică pe site-urile care se confruntă cu internet, precum și a răspunsului la securitate consultanțe prompt.

Cum pot beneficia clienții de vulnerabilitățile de securitate

Nu este clar dacă s-au furat date de la Moonpig prin această vulnerabilitate și, pe baza eforturilor de limitare a daunelor lor, până acum, probabil că nu ar partaja informațiile, chiar dacă le-ar fi avut.

Problemele interminabile cu securitatea cumpărăturilor online în ultimele 24 de luni au început să submineze încrederea în industrie. Deși eBay dă puțin în acest stadiu, de exemplu (și nu a confirmat niciodată modul în care au fost hackate datele lor), acesta este drumul remarcabil către înregistrări gratuite și alte bonusuri la mijlocul anului 2014 sugerează că mulți utilizatori au rămas departe.

Muo-securitate-moonpig-hack-card2

În lipsa lansării acțiunilor civile împotriva acestor companii, singurii pași reali pe care clienții îi pot face împotriva abuzului flagrant și a insecurității datelor lor (și dacă sunteți un client Moonpig.com, merită să verificați dacă există orice promisiuni de securitate a datelor în termenii și condițiile dvs. originale) trebuie să voteze împreună cu portofele.

Odată cu explozia serviciilor de curierat și livrărilor de drone, depozite vaste din toată țara și livrări vaste, Amazon dovedește cum să îndeplinească comenzile clienților și să păstreze datele lor în siguranță (până în prezent). Alte companii ar trebui să folosească Amazon ca exemplu, mai degrabă decât un șablon gros pentru a încerca să imite. Nerespectarea acestui lucru poate duce doar la sfârșitul cumpărăturilor online sau la dominanța totală a Amazonului.

Doar făcând măsuri pentru a face cumpărături în altă parte, putem beneficia de magazinele online care își asumă în serios responsabilitățile.

Nu părăsiți cumpărăturile online: faceți cumpărături inteligente

În ultimii doi ani, am văzut prea multe nume mari hackate. Dar aceste intruziuni și scurgerile de date ulterioare nu înseamnă că trebuie să rămâi un client. De fapt, ar trebui să faceți opusul și să vă orientați către concurenții mai siguri sau să faceți cumpărături pe loc. Dacă sunteți prins și faceți cumpărături pe un site hacked, puteți de asemenea ia în considerare aceste opțiuni alternative Magazinul pe care îl cumpărați la prindere? Iată ce să faci Citeste mai mult .

Desigur, s-ar putea să aveți o soluție mai bună. Așa că folosiți comentariile pentru a-l împărtăși și orice povești conexe pe care le puteți avea.

Credit imagine: Cumpărați online prin Shutterstock

Christian Cawley este redactor redactor pentru securitate, Linux, bricolaj, programare și tehnică explicată. De asemenea, el produce Podcast-ul cu adevărat util și are o experiență vastă în suport pentru desktop și software. Colaborator al revistei Format Linux, Christian este un tinkerer Raspberry Pi, iubitor de Lego și fan de jocuri retro.