reklama

Internetový obchod s pozdravy Moonpig vystavil údaje o zákaznících hackerům po dobu nejméně 15 měsíců, a to i přes varování odborníka, že existuje díra, kterou je třeba připojit.

Je zde několik lekcí. První: firemní arogance je nebezpečná. Za druhé: je důležité, aby se zákazníci vzdělávali a zajistili, aby společnosti pracovaly na jejich zajištění. A třetí: „známé jméno“ není nutně bezpečné.

Moonpig je online obchod s pozdravy, který prostřednictvím svých webových stránek prodává karty a hrnky na míru. Moonpig, který byl díky pravidelné televizní reklamě velmi populární, dodal v roce 2007 ve Velké Británii 6 milionů karet. Zatímco britské stránky (se sídlem v Londýně a na Channel Islandu v Guernsey), toto je situace, která ovlivňuje nakupující a majitele online obchodu po celém světě.

Moonpig Hack: Co se stalo?

V roce 2013 vývojář Paul Price zjistil, že požadavky na mobilní rozhraní API na webu Moonpig.com mohou být napadeny hackery, což umožňuje zločinným hackerům zadávat objednávky na libovolný účet. Kromě toho bylo možné zobrazit data, jako jsou jména zákazníků, datum narození, adresa, vypršení platnosti kreditní karty a poslední čtyři číslice karty.

instagram viewer

muo-security-moonpig-hack-card

Webové stránky, které nabízejí online nakupování, obvykle poskytují omezovače sazeb, které snižují dopad automatizovaných skriptů, ale Moonpig to vynechal, což je pro hackery snadným a otevřeným cílem.

Společnost Moonpig byla původně informována společností Price o zranitelnosti v polovině roku 2013 a tvrdila, že ji ihned opraví; O 18 měsíců později zranitelnost zůstala.

Řekl Cena, když on zveřejněny podrobnosti o zranitelnosti online:

"Viděl jsem ve své době nějaká poloviční artefaktní bezpečnostní opatření, ale tohle jen biskvitu." Kdokoli architekt tohoto systému musí být zatmelen. Každý požadavek na rozhraní API je takový: Neexistuje vůbec žádné ověřování a můžete předat jakékoli ID zákazníka a vydat se za ně. Útočník by mohl snadno zadávat objednávky na jiných zákaznických účtech, přidávat nebo získávat informace o kartách, prohlížet uložené adresy, zobrazovat objednávky a mnoho dalšího. “

V zásadě bylo používáno základní ověřování a data účtů byla odhalena bez ověření autentizace.

Cena se rozhodla zveřejnit tento hack poté, co Moonpig reagoval na svůj následný kontakt v září 2014, aby oprava proběhla do Vánoc. Když všechno odhalil 5. lednatis, ještě to nebylo nutné zapojit.

Moonpigova reakce na hack

Poučení z tohoto příběhu není ani tak o hacku - děje se stále častěji v online nakupování - ale o postoji společnosti a co to pro spotřebitele znamená.

Pokud vezmeme v úvahu množství hacků za posledních pár let, například stále nevysvětlitelný únik eBay Porušení dat eBay: Co potřebujete vědět Přečtěte si více a Cíl ztrácí 40 milionů kreditních karet Cíl potvrzuje, že kreditní karty až 40 milionů amerických zákazníků jsou potenciálně napadenyTarget právě potvrdil, že hacker mohl ohrozit informace o kreditní kartě až do výše 40 milionů zákazníků, kteří nakupovali ve svých amerických obchodech v období od 27. listopadu do 15. prosince 2013. Přečtěte si více pak můžeme vidět, že se zdá, že existuje přinejlepším nevědomost, v nejhorším naprostém uspokojení, vůči online bezpečnosti.

Vezměte například odpověď Moonpig na zprávy:

Jsme si vědomi reklamací údajů o zákaznících a můžeme potvrdit, že všechna hesla a platební informace jsou a vždy byla v bezpečí.

- Tombpig?? (@MoonpigUK) 6. ledna 2015

Tento pokus o omezení poškození byl okamžitě vyvolán:

.@MoonpigUK Kromě jmen, dat vypršení platnosti a posledních 4 číslic, které byly přístupné jednoduše přes vaše API přes 17 měsíců… @ Charlotteis

- James Seymour-Lock (@JamesSLock) 6. ledna 2015

Kromě Public Relations katastrofa, Moonpig neschopnost řešit problém včasným způsobem zdůrazňuje důležitost pravidelných testů penetrace na webových stránkách, které čelí internetu, jakož i reakce na bezpečnost doporučení okamžitě.

Jak mohou zákazníci těžit z bezpečnostních chyb

Není jasné, zda byla prostřednictvím této zranitelnosti ukradena některá data z Moonpig, a na základě jejich úsilí o omezení poškození by tyto informace pravděpodobně nesdělovaly, i kdyby je měly.

Nekonečné problémy se zabezpečením online nakupování za posledních 24 měsíců začaly podkopávat důvěru v dané odvětví. Zatímco eBay v této fázi rozdává málo, například (a nikdy nepotvrdilo, jak byla jejich data hackována), je to Pozoruhodná cesta k bezplatným zápisům a dalším bonusům v polovině roku 2014 naznačuje, že mnoho uživatelů zůstalo pryč.

muo-security-moonpig-hack-card2

Bez zahájení občanskoprávní žaloby proti těmto společnostem mohou jediné skutečné kroky, které zákazníci mohou podniknout proti zjevnému zneužití a nejistotě svých údajů (a pokud jste zákazníkem Moonpig.com, vyplatí se zkontrolovat, zda jsou v původních podmínkách přísliby zabezpečení dat) hlasovat s jejich peněženky.

S explozí kurýrních služeb a dodávek dronů, rozsáhlých skladů po celé zemi a obrovských dodávek Amazon prokazuje, jak plnit objednávky zákazníků a udržovat svá data v bezpečí (dosud). Jiné společnosti by měly používat Amazon jako příklad, spíše než hrubou šablonu, aby se pokusily napodobit. Pokud tak neučiníte, může to mít za následek konec online nakupování - nebo úplnou dominanci Amazonu.

Pouze pokud podniknete kroky k nákupu jinde, můžeme těžit z toho, že internetové obchody berou své povinnosti vážně.

Nepřestávejte nakupovat online: Jen nakupujte chytřeji

Během posledních několika let jsme viděli příliš mnoho hackerů na hackerská jména. Tyto narušení a následné úniky dat však neznamenají, že musíte zůstat zákazníkem. Ve skutečnosti byste měli udělat opak a zamířit k bezpečnějším konkurentům nebo místo toho nakupovat na místě. Pokud vás chytí a nakupujete na webu, který je napaden hackerem, můžete také zvažte tyto alternativní možnosti Ukládejte obchod, abyste byli hacknuti? Tady je co dělat Přečtěte si více .

Samozřejmě můžete mít lepší řešení. Použijte tedy komentáře a sdílejte je a všechny související příběhy, které můžete mít.

Obrázek Kredit: Nakupujte online přes Shutterstock

Christian Cawley je zástupcem editoru pro bezpečnost, Linux, kutilství, programování a techniku. Produkuje také opravdu užitečný podcast a má rozsáhlé zkušenosti s podporou počítačů a softwaru. Christian je přispěvatelem do časopisu Linux Format a je malířem Raspberry Pi, milencem Lego a retro herním fanouškem.