Hirdetés

Az online üdvözlőkártya-áruházban a Moonpig ügyfelek adatait a hackereknek legalább 15 hónapon keresztül feltárták, annak ellenére, hogy a szakértő figyelmeztette, hogy van egy lyuk, amelyet be kell dugni.

Több lecke van itt. Az első: a vállalati arrogancia veszélyes. Másodszor: az ügyfelek számára fontos, hogy oktatják magukat, és győződjenek meg arról, hogy a vállalatok azon dolgoznak, hogy biztonságban maradjanak. És a harmadik: az „ismert név” nem feltétlenül biztonságos.

A Moonpig egy online üdvözlőkártya-áruház, amely weboldalán egyedi tervezésű kártyákat és bögréket árusít. Nagyon népszerű (a rendszeres TV-reklámnak köszönhetően) a Moonpig 2007-ben 6 millió kártyát szállított az Egyesült Királyságban. Míg egy brit webhely (székhelye Londonban és a Guernsey-i Csatorna-szigeten), ez a helyzet befolyásolja a vásárlókat és az online áruházak tulajdonosát szerte a világon.

The Moonpig Hack: Mi történt?

2013-ban Paul Price fejlesztő felfedezte, hogy a Moonpig.com webhely mobil API-kérelmeit feltörhetik, ezáltal lehetővé téve a bűnözői hackerek számára, hogy bármilyen számlára megrendeléseket tegyenek. Ezenkívül megtekinthetők az olyan adatok, mint például az ügyfelek neve, a születési dátum, a cím, a hitelkártya lejárta és a kártya utolsó négy számjegye.

instagram viewer

MUO-biztonsági moonpig-hack-kártya

Az online vásárlást kínáló webhelyek általában olyan sebességkorlátozókat kínálnak, amelyek csökkentik az automatizált szkriptek hatását, ám a Moonpig ezt elmulasztotta, így a hackerek egyszerű, nyitott célpontjává vált.

A Price kezdetben 2013 közepén tájékoztatta a sebezhetőséget, Moonpig azt állította, hogy azonnal javítják; 18 hónappal később a sebezhetőség megmaradt.

Azt mondta Ár, amikor ő a biztonsági rés közzétett részletei online:

„Korábban láttam néhány, félig meghúzott biztonsági intézkedést, de ez csak a kekszet veszi igénybe. Akárki építheti ezt a rendszert, vízbe kell helyezni. Minden API-kérés így van: egyáltalán nincs hitelesítés, és bármilyen ügyfél-azonosítót megadhat, hogy megszemélyesítsék őket. A támadó egyszerűen megrendeléseket adhat más ügyfelek fiókjaihoz, hozzáadhat vagy lekérhet kártya adatait, megtekintheti a mentett címeket, megrendeléseket és még sok más.

Alapvetően az alapvető hitelesítést használták, és a számlaadatokat hitelesítési ellenőrzések nélkül feltárták.

Price úgy döntött, hogy nyilvánosságra hozza a hacket, miután Moonpig 2014. szeptemberében válaszolt a kapcsolattartójára, hogy karácsonyra helyrehozza a helyzetet. Amikor január 5-én mindent elárultth, még nem volt csatlakoztatva.

Moonpig reakciója a csapdába

A történet leckéje nem annyira a hackelésről szól - ezek egyre inkább az online vásárlás területén történnek, hanem a vállalat hozzáállásáról és arról, hogy ez mit jelent a fogyasztók számára.

Ha figyelembe vesszük a csapkodások mennyiségét az elmúlt néhány évben, mint például még mindig megmagyarázhatatlan eBay-szivárgás Az eBay-adatok megsértése: Tudnivalók Olvass tovább és Cél 40 millió hitelkártya elvesztése A cél akár 40 millió amerikai ügyfelet is megerősíthet, amelyek potenciálisan feltörtekA Target nemrégiben megerősítette, hogy a hackelés akár 100% -ig veszélyeztetheti a hitelkártya-információkat 40 millió ügyfél vásárolt üzletet az Egyesült Államok üzleteiben november 27 és december 15 között 2013. Olvass tovább akkor láthatjuk, hogy a legjobb esetben tudatlanság, legrosszabb esetben pedig teljes önelégülés mutatkozik az online biztonság felé.

Vegyük például a Moonpig válaszát a hírekre:

Tisztában vagyunk a vevői adatokkal kapcsolatos követelésekkel, és megerősíthetjük, hogy minden jelszó- és fizetési információ biztonságos és mindig is biztonságos.

- Tombpig?? (@MoonpigUK) 2015. január 6

Ezt a káros korlátozási kísérletet azonnal kihívták:

.@MoonpigUK A nevek, lejárati dátumok és az utolsó 4 számjegy kivételével, amelyek egyszerűen az API-n keresztül érhetők el több mint 17 hónapig... @Charlotteis

- James Seymour-Lock (@JamesSLock) 2015. január 6

A PR-katasztrófától eltekintve, a Moonpig képtelensége megfelelő időben foglalkozni a kérdéssel, rávilágít a a rendszeres futási penetrációs tesztek fontossága az internetet szemléltető webhelyeken, valamint a biztonság megválaszolása tanácsok haladéktalanul.

Hogyan részesülhetnek az ügyfelek a biztonsági résből?

Nem egyértelmű, hogy a Moonpig-től elloptak-e valamilyen adatot ezen a biztonsági résen keresztül, és a károk korlátozására tett eddigi erőfeszítéseik alapján valószínűleg nem osztanák meg az információkat, még ha rendelkeztek volna velük.

Az online vásárlás biztonságával kapcsolatos végtelen kérdések az elmúlt 24 hónapban már aláássák az iparágba vetett bizalmat. Noha az eBay ebben a szakaszban kevéssé ad adományokat (és soha nem erősítette meg, hogy az adataikat hogyan támadták meg), az az figyelemre méltó ösztönzés az ingyenes listázás és az egyéb bónuszok felé 2014 közepén arra utal, hogy sok felhasználó maradt el.

MUO-biztonsági moonpig-hack-card2

A vállalkozások ellen indított polgári keresetek elindítása nélkül az ügyfelek egyetlen valódi lépést megtehetnek az adatok nyilvánvaló visszaélése és bizonytalansága ellen. (és ha Ön Moonpig.com ügyfél, érdemes ellenőrizni, hogy az adatbiztonsági ígéreteket az eredeti szerződési feltételekben tartalmaz-e) pénztárca.

A futárszolgálat és a drónszállítások, az ország egész területén nagy raktárak és a hatalmas szállítások robbanása révén az Amazon bebizonyítja, hogy miként tudja teljesíteni az ügyfelek megrendeléseit és biztonságban tartani adataikat (eddig). Más vállalatoknak inkább az Amazonot kell használniuk, nem pedig durva sablonként, hogy utánozzák. Ennek elmulasztása csak az online vásárlás végét vagy az Amazon teljes dominanciáját vonhatja maga után.

Csak azáltal, hogy lépéseket teszünk másutt történő vásárlásra, előnye származhat, ha az online áruházak komolyan veszik felelősségüket.

Ne hagyja ki még az online vásárlást: Csak vásároljon okosabban

Az elmúlt néhány évben túlságosan sok nagynevet láttunk feltörni. De ezek a behatolások és az azt követő adatszivárgások nem azt jelentik, hogy ügyfélnek kell maradnia. Valójában az ellenkezőjét kell tennie, és a biztonságosabb versenytársak felé kell fordulnia, vagy inkább helyben kell vásárolnia. Ha elraboltak és egy olyan webhelyen vásárolnak meg, ahol csapkodtak, akkor az is lehetséges fontolja meg ezeket az alternatív lehetőségeket Tárolja, amit vásárol, ha feltörekvődik? Itt van, mit kell tennie Olvass tovább .

Természetesen jobb megoldás is lehet. Tehát használja a megjegyzéseket, és ossza meg minden esetleges kapcsolódó történetet.

Kép jóváírás: Online vásárlás a Shutterstockon keresztül

Christian Cawley a biztonság, a Linux, a barkácsolás, a programozás és a műszaki magyarázatú szerkesztőhelyettes. Előállítja a The Really Useful Podcast-ot is, és nagy tapasztalattal rendelkezik az asztali és szoftver támogatással kapcsolatban. Christian, a Linux Format magazin közreműködője, egy Raspberry Pi gyártója, Lego szeretője és retro játék rajongója.