Reklama

Online obchod s pozdravmi Moonpig vystavil údaje o zákazníkoch hackerom najmenej 15 mesiacov, a to napriek upozorneniam odborníka, že existuje otvor, ktorý je potrebné zapojiť.

Existuje niekoľko lekcií. Prvá: firemná arogancia je nebezpečná. Po druhé: je dôležité, aby sa zákazníci vzdelávali a aby sa ubezpečili, že spoločnosti pracujú na ich zabezpečení. A po tretie: „známe meno“ nie je nevyhnutne bezpečné.

Moonpig je internetový obchod s pozdravmi, ktorý prostredníctvom svojich webových stránok predáva karty a hrnčeky na mieru. Moonpig, ktorý sa stal veľmi populárnym (vďaka pravidelnej televíznej reklame), dodal vo Veľkej Británii v roku 2007 6 miliónov kariet. Zatiaľ čo britská stránka (so sídlom v Londýne a na ostrove Channel Island v Guernsey) je to situácia, ktorá ovplyvňuje nakupujúcich a majiteľov internetových obchodov z celého sveta.

Moonpig Hack: Čo sa stalo?

V roku 2013 vývojár Paul Price zistil, že žiadosti o mobilné rozhranie API na webovej stránke Moonpig.com by mohli byť napadnuté hackermi, čím by zločinným hackerom umožnili zadávať objednávky na ľubovoľný účet. Okrem toho bolo možné zobraziť údaje, ako sú mená zákazníkov, dátum narodenia, adresa, dátumy uplynutia platnosti kreditných kariet a posledné štyri číslice karty.

instagram viewer

Muo-security-moonpig-hack-card

Webové stránky, ktoré ponúkajú online nakupovanie, zvyčajne poskytujú obmedzovače sadzieb, ktoré znižujú vplyv automatizovaných skriptov, ale Moonpig to vynechal, čo z neho robí ľahký a otvorený cieľ pre hackerov.

Spoločnosť Moonpig, pôvodne informovaná spoločnosťou Price o zraniteľnosti v polovici roka 2013, tvrdila, že ju okamžite opraví; O 18 mesiacov neskôr táto zraniteľnosť zostala.

Cena, keď on zverejnené podrobnosti o zraniteľnosti online:

„Vo svojom čase som videl nejaké polovičné aretačné bezpečnostné opatrenia, ale to si vyžaduje len sušienku. Každý, kto architekt tohto systému potrebuje, musí byť zabalený. Každá požiadavka na rozhranie API je takáto: neexistuje žiadna autentifikácia a môžete im odovzdať akékoľvek ID zákazníka, aby ste sa imenovali. Útočník by mohol ľahko zadávať objednávky na iných účtoch zákazníkov, pridávať alebo získavať informácie o karte, prezerať uložené adresy, prezerať objednávky a oveľa viac. “

V podstate sa používala základná autentifikácia a údaje o účtoch boli odhalené bez kontrol autentifikácie.

Cena sa rozhodla zverejniť tento hack po tom, čo Moonpig v septembri 2014 zareagoval na svoj nadväzujúci kontakt, aby sa oprava zaviedla do Vianoc. Keď to všetko odhalil 5. januárath, ešte to nebolo potrebné zapojiť.

Reakcia Moonpig na hack

Poučenie z tohto príbehu nie je ani tak o hackeroch - stávajú sa čoraz častejšie v odvetví online nakupovania - ale o postoji spoločnosti a čo to znamená pre spotrebiteľov.

Ak vezmeme do úvahy množstvo hackov za posledných pár rokov, napríklad stále nevysvetlený únik eBay Porušenie údajov eBay: Čo potrebujete vedieť Čítaj viac a Cieľ stratiť 40 miliónov kreditných kariet Cieľ potvrdzuje, že kreditné karty až 40 miliónov amerických zákazníkov sú potenciálne napadnutéTarget práve potvrdil, že hack mohol ohroziť informácie o kreditnej karte až do výšky 40 miliónov zákazníkov, ktorí nakupovali vo svojich obchodoch v USA od 27. novembra do 15. decembra 2013. Čítaj viac potom vidíme, že sa zdá, že existuje prinajlepšom nevedomosť, v najhoršom prípade úplná spokojnosť, s bezpečnosťou online.

Vezmite napríklad odpoveď Moonpig na správy:

Vieme o reklamáciách týkajúcich sa údajov o zákazníkoch a môžeme potvrdiť, že všetky heslá a informácie o platbe sú a vždy boli v bezpečí.

- Tombpig?? (@MoonpigUK) 6. januára 2015

Tento pokus o obmedzenie poškodenia bol okamžite vyvolaný:

.@MoonpigUK Okrem mien, dátumov vypršania platnosti a posledných 4 číslic, ktoré boli prístupné jednoducho prostredníctvom rozhrania API viac ako 17 mesiacov... @Charlotteis

- James Seymour-Lock (@JamesSLock) 6. januára 2015

Odhliadnuc od katastrofy v oblasti vzťahov s verejnosťou, neschopnosť spoločnosti Moonpig vyriešiť túto otázku včas zdôrazňuje dôležitosť pravidelných testov penetrácie na internetových stránkach, ktoré stoja pred internetom, ako aj reakcie na bezpečnosť informácie okamžite.

Ako môžu zákazníci ťažiť z bezpečnostných zraniteľností

Nie je jasné, či boli prostredníctvom tejto zraniteľnosti ukradnuté nejaké údaje zo spoločnosti Moonpig a na základe úsilia o obmedzenie poškodenia by informácie pravdepodobne nezdieľali, aj keby ich mali.

Nekonečné problémy so zabezpečením online nakupovania za posledných 24 mesiacov začali oslabovať dôveru v tento priemysel. Aj keď eBay v tejto fáze rozdáva málo, napríklad (a nikdy nepotvrdilo, ako boli ich údaje napadnuté), je to Pozoruhodná snaha o bezplatné zoznamy a ďalšie bonusy v polovici roka 2014 naznačuje, že veľa používateľov zostalo preč.

Muo-security-moonpig-hack-card2

Bez začatia občianskoprávnych konaní proti týmto spoločnostiam môžu zákazníci podniknúť jediné skutočné kroky proti zjavnému zneužitiu a neistote svojich údajov. (a ak ste zákazníkom spoločnosti Moonpig.com, oplatí sa skontrolovať, či v pôvodných podmienkach nie sú dodržané žiadne sľuby týkajúce sa zabezpečenia údajov), je hlasovať s nimi peňaženky.

S explóziou kuriérskych služieb a dodávok robotov, rozsiahlymi skladmi po celej krajine a rozsiahlymi dodávkami Amazon dokazuje, ako plniť objednávky zákazníkov a udržiavať svoje údaje v bezpečí (doteraz). Ostatné spoločnosti by mali používať Amazon ako príklad a nie ako hrubú šablónu, aby sa pokúsili napodobniť. Ak tak neurobíte, môže to mať za následok iba koniec online nakupovania - alebo úplnú dominanciu Amazonu.

Iba ak podniknete kroky na nakupovanie inde, môžeme mať úžitok z toho, že internetové obchody berú svoje zodpovednosti vážne.

Neukončujte online nakupovanie: Nakupujte inteligentnejšie

Za posledných pár rokov sme videli príliš veľa hackovaných hackerov. Tieto narušenia a následné úniky údajov však neznamenajú, že musíte zostať zákazníkom. V skutočnosti by ste mali robiť opak a smerovať k bezpečnejším konkurentom alebo radšej nakupovať na mieste. Ak vás niekto chytí a nakupujete na napadnutom webe, môžete tiež zvážte tieto alternatívne možnosti Uložte si obchod, aby ste boli hacknutí? Tu je čo robiť Čítaj viac .

Možno budete mať lepšie riešenie. Použite teda komentáre na zdieľanie a všetky súvisiace príbehy, ktoré môžete mať.

Obrázok Kredit: Nakupovanie online cez Shutterstock

Christian Cawley je zástupcom redaktora pre bezpečnosť, Linux, DIY, programovanie a techniku. Produkuje tiež skutočne užitočný podcast a má bohaté skúsenosti s podporou počítačov a softvéru. Christian je prispievateľom do časopisu Linux Format a je fanúšikom hry Raspberry Pi, milencom Lego a retro hráčom.