Edmund Richardson
0 
4915
249
Sklep z pozdrowieniami online Moonpig wystawiał hakerów dane klientów przez co najmniej 15 miesięcy, pomimo ostrzeżeń eksperta, że istnieje dziura, którą należy zatkać.
Tutaj jest wiele lekcji. Po pierwsze: korporacyjna arogancja jest niebezpieczna. Po drugie: ważne jest, aby klienci edukowali się i upewniali, że firmy starają się zapewnić im bezpieczeństwo. A trzeci: “znane imię” niekoniecznie jest bezpieczny.
Moonpig to internetowy sklep z pozdrowieniami, który sprzedaje niestandardowe karty i kubki za pośrednictwem swojej strony internetowej. Niezwykle popularny (dzięki regularnym reklamom telewizyjnym) Moonpig dostarczył w 2007 r. 6 milionów kart w Wielkiej Brytanii. Podczas gdy strona brytyjska (z siedzibą w Londynie i Channel Island of Guernsey), sytuacja ta dotyka kupujących i właścicieli sklepów internetowych w okolicy świat.
The Moonpig Hack: Co się stało?
W 2013 roku programista Paul Price odkrył, że żądania mobilnego interfejsu API w witrynie Moonpig.com mogą zostać zhakowane, umożliwiając tym samym przestępcom włamanie się na dowolne konto. Ponadto można przeglądać dane, takie jak imię i nazwisko klienta, data urodzenia, adres, data ważności karty kredytowej i ostatnie cztery cyfry karty.
Strony internetowe, które oferują zakupy online, zwykle zapewniają ograniczniki szybkości, które zmniejszają wpływ automatycznych skryptów, ale Moonpig tego nie zrobił, co czyni go łatwym, otwartym celem dla hakerów.
Początkowo poinformowany przez Price o luce w połowie 2013 r., Moonpig twierdził, że natychmiast ją naprawi; 18 miesięcy później luka pozostała.
Powiedział Price, gdy opublikował szczegóły podatności online:
“W swoim czasie widziałem na wpół arsenał środki bezpieczeństwa, ale to tylko biszkopt. Każdy, kto jest architektem tego systemu, musi zostać podbity. Każde żądanie interfejsu API wygląda tak: w ogóle nie ma uwierzytelnienia i można podać dowolny identyfikator klienta, aby podszyć się pod niego. Osoba atakująca może łatwo składać zamówienia na kontach innych klientów, dodawać lub pobierać informacje o karcie, przeglądać zapisane adresy, przeglądać zamówienia i wiele więcej.”
Zasadniczo wykorzystywano podstawowe uwierzytelnianie, a dane konta ujawniano bez sprawdzania autentyczności.
Price zdecydował się opublikować hack po tym, jak Moonpig odpowiedział na swój dalszy kontakt we wrześniu 2014 r., Aby wprowadzić poprawkę do Bożego Narodzenia. Kiedy ujawnił wszystko 5 styczniath, musiało być jeszcze podłączone.
Reakcja Moonpiga na włamanie
Lekcja tej historii nie tyle polega na włamaniu - coraz częściej zdarzają się w branży zakupów online - ale na temat postawy firmy i jej znaczenia dla konsumentów.
Jeśli weźmiemy pod uwagę liczbę włamań w ciągu ostatnich kilku lat, takich jak wciąż niewyjaśniony wyciek na eBayu Naruszenie danych na eBayu: co musisz wiedzieć Naruszenie danych na eBayu: co musisz wiedzieć i cel utraty 40 milionów kart kredytowych Cel potwierdzony Do 40 milionów klientów z USA Karty kredytowe Potencjalnie zhakowany cel Potwierdza do 40 milionów klientów z USA Karty kredytowe Potencjalnie zhackowany cel właśnie potwierdził, że włamanie mogło narazić dane karty kredytowej nawet 40 milionów klientów, którzy zrobili zakupy w amerykańskich sklepach pomiędzy 27 listopada i 15 grudnia 2013 r. Wtedy możemy zobaczyć, że w najlepszym razie istnieje ignorancja, w najgorszym przypadku absolutna samozadowolenie, w kwestii bezpieczeństwa online.
Weźmy na przykład odpowiedź Moonpiga na wiadomości:
Jesteśmy świadomi roszczeń dotyczących danych klientów i możemy potwierdzić, że wszystkie hasła i informacje dotyczące płatności są i zawsze były bezpieczne.
- Tombpig? (@MoonpigUK) 6 stycznia 2015 r
Ta próba ograniczenia szkód została natychmiast odwołana:
.@MoonpigUK Oprócz nazw, dat ważności i 4 ostatnich cyfr, które były dostępne po prostu przez interfejs API od ponad 17 miesięcy… @Charlotteis
- James Seymour-Lock (@JamesSLock) 6 stycznia 2015 r
Pomijając katastrofę Public Relations, niezdolność Moonpig do poradzenia sobie z tym problemem w odpowiednim czasie podkreśla znaczenie regularnego przeprowadzania testów penetracyjnych na internetowych stronach internetowych, a także szybkiego reagowania na powiadomienia bezpieczeństwa.
Jak klienci mogą czerpać korzyści z luk w zabezpieczeniach?
Nie jest jasne, czy jakiekolwiek dane zostały skradzione Moonpigowi przez tę lukę, a na podstawie dotychczasowych wysiłków ograniczenia szkód prawdopodobnie nie udostępniliby informacji, nawet gdyby je mieli.
Niekończące się problemy z bezpieczeństwem zakupów online w ciągu ostatnich 24 miesięcy zaczęły podważać zaufanie do branży. Chociaż na tym etapie eBay niewiele rozdaje, na przykład (i nigdy nie potwierdził, w jaki sposób ich dane zostały zhakowane), niezwykłe dążenie do darmowych ofert i innych bonusów w połowie 2014 roku sugeruje, że wielu użytkowników pozostało z dala.
Poza wszczęciem postępowania cywilnego przeciwko tym firmom, jedyne prawdziwe kroki, jakie klienci mogą podjąć przeciwko rażącemu niewłaściwemu wykorzystaniu i niepewności swoich danych (a jeśli jesteś klientem Moonpig.com, warto sprawdzić, czy nie ma obietnic bezpieczeństwa danych w oryginalnych warunkach i warunki) to głosować z portfelami.
Wraz z eksplozją usług kurierskich i dostaw dronów, rozległymi magazynami w całym kraju i rozległymi dostawami, Amazon udowadnia, jak realizować zamówienia klientów i chronić swoje dane (jak dotąd). Inne firmy powinny używać Amazon jako przykładu, a nie szorstkiego szablonu do naśladowania. Nieprzestrzeganie tego może skutkować jedynie zakończeniem zakupów online - lub całkowitą dominacją Amazon.
Tylko podejmując kroki, aby robić zakupy w innym miejscu, możemy czerpać korzyści ze sklepów internetowych poważnie podchodzących do swoich obowiązków.
Nie rezygnuj jeszcze z zakupów online: po prostu kupuj mądrzej
W ciągu ostatnich kilku lat widzieliśmy o wiele za dużo zhakowanych wielkich nazwisk. Ale te włamania i kolejne wycieki danych nie oznaczają, że musisz pozostać klientem. W rzeczywistości powinieneś zrobić coś przeciwnego i udać się do bezpieczniejszych konkurentów lub zamiast tego robić zakupy lokalnie. Jeśli jesteś przyłapany na robieniu zakupów w witrynie zaatakowanej przez hakerów, możesz również rozważyć alternatywne opcje Sklep, w którym robisz zakupy w zaatakowaniu? Oto, co zrobić Sklep, w którym robisz zakupy w Get Hacked? Oto co należy zrobić .
Oczywiście możesz mieć lepsze rozwiązanie. Dlatego użyj komentarzy, aby go udostępnić, i wszelkich powiązanych historii.
Zdjęcie: Zakupy online za pośrednictwem Shutterstock