Annonse
Online-gratulasjonskortbutikk Moonpig utsatte kundedata for hackere i minst 15 måneder, til tross for advarsler fra en ekspert om at det var et hull som måtte kobles til.
Det er flere leksjoner her. Den første: bedriftens arroganse er farlig. For det andre: det er viktig for kundene å utdanne seg og sørge for at selskaper jobber for å holde dem trygge. Og den tredje: et "kjent navn" er ikke nødvendigvis et trygt.
Moonpig er en online gratulasjonskortbutikk som selger spesialdesignede kort og krus gjennom nettstedet deres. En utrolig populær (takket være vanlig TV-reklame), sendte Moonpig 6 millioner kort i Storbritannia i 2007. Mens en britisk side (med base i London og Channel Island of Guernsey), er dette en situasjon som berører kjøpere og eiere av nettbutikker over hele verden.
Moonpig Hack: Hva skjedde?
Tilbake i 2013 oppdaget utvikler Paul Price at mobile API-forespørsler på Moonpig.com-nettstedet kunne bli hacket, og dermed muliggjøre kriminelle hackere å legge inn bestillinger på enhver konto. I tillegg kan data som kundenavn, fødselsdato, adresse, utløp av kredittkort og de fire siste sifrene på kortet vises.
Nettsteder som tilbyr online shopping gir vanligvis takstbegrensere som reduserer effekten av automatiserte skript, men Moonpig unnlot å gjøre dette, noe som gjør det til et enkelt, åpent mål for hackere.
Opprinnelig informert av Price om sårbarheten i midten av 2013, hevdet Moonpig at de ville fikse det med en gang; 18 måneder senere forble sårbarheten.
Sa Price da han publiserte detaljer om sårbarheten på nett:
"Jeg har sett noen halvt arsede sikkerhetstiltak i min tid, men dette tar bare kjeksen. Den som arkitekten dette systemet trenger å være vannet. Hver API-forespørsel er slik: det er ingen godkjenning i det hele tatt, og du kan gi hvilken som helst kunde-ID for å etterligne dem. En angriper kan enkelt legge inn bestillinger på andre kundekontoer, legge til eller hente kortinformasjon, se lagrede adresser, se ordrer og mye mer. ”
I hovedsak ble grunnleggende autentisering brukt og kontodata avslørt uten autentiseringskontroller.
Price bestemte seg for å offentliggjøre hackingen etter at Moonpig svarte på oppfølgingskontakten hans i september 2014 for å ha fiksen på plass innen jul. Da han avslørte alt 5. januarth, det var ennå ikke koblet til.
Moonpigs reaksjon på hackingen
Leksjonen i denne historien handler ikke så mye om hackingen - de skjer mer og mer i online shoppingindustrien - men om holdningen til selskapet, og hva dette betyr for forbrukerne.
Hvis vi vurderer volumet av hacks de siste par årene, som f.eks fortsatt uforklarlig eBay-lekkasje EBay dataovertredelse: Det du trenger å vite Les mer og Mål å miste 40 millioner kredittkort Mål bekrefter opptil 40 millioner amerikanske kunder. Kredittkort som potensielt er hacketTarget har nettopp bekreftet at et hack kunne ha kompromittert kredittkortinformasjonen for opptil 40 millioner kunder som har handlet i USAs butikker mellom 27. november og 15. desember 2013. Les mer så kan vi se at det i beste fall ser ut til å være en uvitenhet, i verste fall fullstendig selvtilfredshet, overfor online-sikkerhet.
Ta for eksempel Moonpig-svaret på nyhetene:
Vi er klar over påstander om kundedata og kan bekrefte at all passord- og betalingsinformasjon er og alltid har vært trygg.
- Tombpig?? (@MoonpigUK) 6. januar 2015
Dette forsøket på skadebegrensning ble umiddelbart utlyst:
.@MoonpigUK Bortsett fra navn, utløpsdatoer og de siste 4 sifrene som har vært tilgjengelige ganske enkelt via APIen din i over 17 måneder... @Charlotteis
- James Seymour-Lock (@JamesSLock) 6. januar 2015
PR-katastrofe til side, Moonpigs manglende evne til å håndtere problemet på en rettidig måte fremhever viktigheten av regelmessige kjører penetrasjonstester på nettsteder som vender mot nettet, i tillegg til å svare på sikkerhet rådgivning omgående.
Hvordan kunder kan dra nytte av sikkerhetsproblemer
Det er ikke klart om det ble stjålet data fra Moonpig via dette sikkerhetsproblemet, og basert på deres skadebegrensningsinnsats så langt vil de sannsynligvis ikke dele informasjonen selv om de hadde den.
De uendelige problemene med online shopping-sikkerhet i løpet av de siste 24 månedene har begynt å undergrave tilliten til bransjen. Mens eBay gir lite bort på dette stadiet, er det for eksempel (og aldri bekreftet hvordan dataene deres ble hacket) bemerkelsesverdig kjøretur mot gratis oppføringer og andre bonuser i løpet av midten av 2014 antyder at mange brukere ble værende borte.
Kort om å iverksette sivile aksjoner mot disse selskapene, er de eneste virkelige skritt kundene kan ta mot den flagrante misbruk og usikkerhet av deres data (og hvis du er en Moonpig.com-kunde, er det verdt å sjekke om det er løfter om datasikkerhet i de opprinnelige vilkårene dine) er å stemme med deres lommebøker.
Med eksplosjonen innen budtjenester og droneleveranser, enorme lagre rundt om i landet og enorme leveranser, beviser Amazon hvordan de skal oppfylle kundebestillinger og holde deres data trygge (så langt). Andre selskaper bør bruke Amazon som et eksempel, i stedet for en grov mal for å prøve å etterligne. Unnlatelse av å gjøre dette kan bare resultere i slutten av online shopping - eller den totale dominansen av Amazon.
Bare ved å ta skritt for å handle andre steder, kan vi dra nytte av at nettbutikker tar sitt ansvar på alvor.
Ikke avslutt online shopping ennå: Bare butikk smartere
I løpet av de siste par årene har vi sett altfor mange store navn hacket. Men disse inntrengingene og påfølgende datalekkasjer betyr ikke at du må være kunden. Faktisk bør du gjøre det motsatte og ta turen til de sikrere konkurrentene, eller handle lokalt, i stedet. Hvis du blir fanget og handler på et nettsted som er hacket, kan du også gjøre det vurdere disse alternative alternativene Oppbevarer du butikk for å bli hacket? Her er hva du skal gjøre Les mer .
Selvfølgelig har du kanskje en bedre løsning. Så bruk kommentarene til å dele den, og eventuelle relaterte historier du måtte ha.
Bildekreditt: Shopping på nettet via Shutterstock
Christian Cawley er assisterende redaktør for sikkerhet, Linux, DIY, programmering og teknisk forklart. Han produserer også The Really Useful Podcast og har lang erfaring innen stasjonær og programvare. Christian er en bidragsyter til Linux Format-magasinet, en Raspberry Pi tinkerer, Lego-elsker og retrospill-fan.