Reklame

Online lykønskningskortbutik Moonpig udsatte kundedata for hackere i mindst 15 måneder, på trods af advarsler fra en ekspert om, at der var et hul, der skulle tilsluttes.

Der er flere lektioner her. Den første: virksomheders arrogance er farlig. For det andet: det er vigtigt for kunderne at uddanne sig og sikre, at virksomhederne arbejder for at holde dem sikre. Og den tredje: et "kendt navn" er ikke nødvendigvis et sikkert.

Moonpig er en online lykønskningskortbutik, der sælger specialdesignede kort og krus gennem deres hjemmeside. Meget populært (takket være regelmæssig tv-reklame), sendte Moonpig 6 millioner kort ind i Storbritannien i 2007. Mens et britisk sted (med base i London og Channel Island of Guernsey), er dette en situation, der påvirker shoppere og online-butikkejere overalt i verden.

Moonpig Hack: Hvad skete der?

Tilbage i 2013 opdagede udvikler Paul Price, at mobil-API-anmodninger på Moonpig.com-webstedet kunne være hacket, hvorved kriminelle hackere kunne placere ordrer på enhver konto. Derudover kunne data, såsom kundenavne, fødselsdato, adresse, kreditkortudløb og de sidste fire cifre på kortet, vises.

instagram viewer

Muo-sikkerhed-moonpig-hack-kort

Websteder, der tilbyder online shopping, tilbyder normalt takstbegrænsere, der reducerer indvirkningen af ​​automatiske scripts, men Moonpig udelader dette, hvilket gør det til et let, åbent mål for hackere.

Oprindeligt underrettet af Price om sårbarheden i midten af ​​2013, hævdede Moonpig, at de ville rette det med det samme; 18 måneder senere forblev sårbarheden.

Sagde Price, når han offentliggjorte detaljer om sårbarheden online:

”Jeg har set nogle halv-arsede sikkerhedsforanstaltninger i min tid, men dette tager bare kiks. Den, der arkitekterer dette system, skal være vandbræt. Hver API-anmodning er sådan: der er overhovedet ingen godkendelse, og du kan indtaste ethvert kunde-ID for at efterligne dem. En angriber kunne nemt placere ordrer på andre kundekonti, tilføje eller hente kortoplysninger, se gemte adresser, se ordrer og meget mere. ”

Grundlæggende blev grundlæggende godkendelse brugt, og kontodata blev afsløret uden godkendelseskontrol.

Price besluttede at offentliggøre hacket, efter at Moonpig reagerede på hans opfølgningskontakt i september 2014 for at få fixet på plads inden jul. Da han afslørede alt den 5. januarth, det var endnu ikke tilsluttet.

Moonpigs reaktion på hacket

Lektionen i denne historie handler ikke så meget om hacket - de sker mere og mere i online shoppingbranchen - men om virksomhedens holdning, og hvad det betyder for forbrugerne.

Hvis vi overvejer mængden af ​​hacks i de sidste par år, som f.eks stadig uforklarlig eBay-lækage EBay-dataovertrædelse: Hvad du skal vide Læs mere og Mål at miste 40 millioner kreditkort Mål bekræfter op til 40 millioner amerikanske kunder kreditkort, der potentielt er hacketTarget har netop bekræftet, at et hack kunne have kompromitteret kreditkortoplysningerne op til 40 millioner kunder, der har handlet i sine amerikanske butikker mellem 27. november og 15. december 2013. Læs mere så kan vi se, at der i bedste fald synes at være en uvidenhed, i værste fald fuldstændig selvtilfredshed, over for online-sikkerhed.

Tag for eksempel Moonpig-svaret på nyheden:

Vi er opmærksomme på krav vedrørende kundedata og kan bekræfte, at al adgangskode og betalingsinformation er og altid har været sikker.

- Tombpig?? (@MoonpigUK) 6. januar 2015

Dette forsøg på begrænsning af skader blev straks kaldet:

.@MoonpigUK Bortset fra navne, udløbsdatoer og de sidste 4 cifre, som blot har været tilgængelige via dit API i over 17 måneder... @Charlotteis

- James Seymour-Lock (@JamesSLock) 6. januar 2015

PR-katastrofe til side, Moonpigs manglende evne til at tackle problemet på en rettidig måde fremhæver vigtigheden af ​​regelmæssige kører penetrationstest på websteder, der vender mod Internet, samt at reagere på sikkerhed rådgivning straks.

Hvordan kunder kan drage fordel af sikkerhedsproblemer

Det er ikke klart, om der blev stjålet nogen data fra Moonpig via denne sårbarhed, og baseret på deres skadesbegrænsningsindsats indtil videre ville de sandsynligvis ikke dele oplysningerne, selvom de havde det.

De uendelige problemer med online shopping-sikkerhed i løbet af de sidste 24 måneder er begyndt at undergrave tilliden til branchen. Mens eBay ikke giver lidt væk på dette tidspunkt, er det f.eks. (Og aldrig bekræftet, hvordan deres data blev hacket) bemærkelsesværdigt kørsel mod gratis lister og andre bonusser i midten af ​​2014 antyder, at mange brugere blev væk.

Muo-sikkerhed-moonpig-hack-card2

Kort efter at iværksætte civile retssager mod disse virksomheder er de eneste virkelige skridt, som kunderne kan tage mod det åbenlyse misbrug og usikkerhed af deres data (og hvis du er en Moonpig.com-kunde, er det værd at kontrollere, om der er løfter om datasikkerhed i dine oprindelige vilkår og betingelser) er at stemme med deres tegnebøger.

Med eksplosionen i budtjenester og droneleverancer, store lagre rundt omkring i landet og store leverancer, viser Amazon, hvordan man opfylder kundeordrer og holder deres data sikre (indtil videre). Andre virksomheder burde bruge Amazon som et eksempel i stedet for en grov skabelon til at forsøge at efterligne. Undladelse af at gøre dette kan kun resultere i slutningen af ​​online shopping - eller den samlede dominans af Amazon.

Kun ved at tage skridt til at shoppe andre steder, kan vi drage fordel af, at onlinebutikker tager deres ansvar alvorligt.

Bliv ikke afsluttet online shopping endnu: Bare shop smartere

I de sidste par år har vi set alt for mange store navne hacket. Men disse indtrængen og efterfølgende datalækager betyder ikke, at du skal forblive kunde. Faktisk skal du gøre det modsatte og gå mod de mere sikre konkurrenter, eller shoppe lokalt i stedet. Hvis du er fanget og handler på et websted, der er hacket, kan du muligvis også overveje disse alternative muligheder Opbevarer du butik på Bliv hacket? Her er hvad du skal gøre Læs mere .

Selvfølgelig har du måske en bedre løsning. Så brug kommentarerne til at dele den og alle relaterede historier, du måtte have.

Billedkredit: Shopping online via Shutterstock

Christian Cawley er viceaditor for sikkerhed, Linux, DIY, programmering og teknisk forklaret. Han producerer også The Really Useful Podcast og har lang erfaring med support til desktop og software. Christian bidrager til Linux Format-magasinet og er en Raspberry Pi-tinkerer, Lego-elsker og retro-spil-fan.