Reklāma

Tiešsaistes apsveikuma kartīšu veikals Moonpig vismaz 15 mēnešus atklāja klientu datus hakeriem, neskatoties uz eksperta brīdinājumiem, ka ir izveidojies caurums, kas ir jānoslēdz.

Šeit ir vairākas nodarbības. Pirmais: korporatīvā augstprātība ir bīstama. Otrkārt: klientiem ir svarīgi sevi izglītot un pārliecināties, ka uzņēmumi strādā, lai viņi būtu droši. Un trešais: “zināmais vārds” nebūt nav drošs.

Moonpig ir tiešsaistes apsveikuma kartīšu veikals, kas savā vietnē pārdod individuāli izstrādātas kartes un krūzes. Ļoti populārs (pateicoties regulārai TV reklāmai) Moonpig 2007. gadā Lielbritānijā nosūtīja 6 miljonus karšu. Lai arī britu vietne (atrodas Londonā un Gērnsijas salas Normandijas salā), šī ir situācija, kas ietekmē pircējus un tiešsaistes veikalu īpašniekus visā pasaulē.

The Moonpig Hack: Kas notika?

Jau 2013. gadā izstrādātājs Pols Cena atklāja, ka var tikt uzlauzti mobilo API pieprasījumi vietnē Moonpig.com, tādējādi ļaujot noziedzīgiem hakeriem izvietot pasūtījumus uz jebkuru kontu. Turklāt varēja apskatīt tādus datus kā klientu vārdi, dzimšanas datums, adrese, kredītkartes derīguma termiņš un pēdējie četri kartes cipari.

instagram viewer

muo-apsardze-moonpig-hack-karte

Vietnes, kas piedāvā iepirkšanos tiešsaistē, parasti nodrošina likmes ierobežotājus, kas samazina automatizēto skriptu ietekmi, taču Moonpig to nedarīja, padarot to par vieglu, atklātu hakeru mērķi.

Sākotnēji Price informēja par ievainojamību 2013. gada vidū, Moonpig apgalvoja, ka viņi to nekavējoties novērsīs; 18 mēnešus vēlāk ievainojamība saglabājās.

Teica Cena, kad viņš publicēta informācija par neaizsargātību tiešsaistē:

“Es savā laikā esmu redzējis dažus puslīdz drošus drošības pasākumus, bet tas tikai prasa cepumu. Neatkarīgi no tā, kurš šo sistēmu arhitektē, tas ir jānovieto uz ūdens. Katrs API pieprasījums ir šāds: autentiskuma vispār nav, un jūs varat ievadīt jebkuru klienta ID, lai uzdotos par tiem. Uzbrucējs varēja viegli veikt pasūtījumus uz citu klientu kontiem, pievienot vai izgūt kartes informāciju, apskatīt saglabātās adreses, apskatīt pasūtījumus un daudz ko citu. ”

Būtībā tika izmantota pamata autentifikācija un konta dati tika atklāti bez autentifikācijas pārbaudēm.

Cena nolēma publiskot hacku pēc tam, kad Moonpig atbildēja uz viņa turpmāko saziņu 2014. gada septembrī, lai labojums būtu ieviests līdz Ziemassvētkiem. Kad viņš visu atklāja 5. janvārīth, tas vēl bija jāpievieno.

Moonpiga reakcija uz kapu

Šī stāsta mācība attiecas ne tikai uz hakeriem - tie arvien vairāk notiek tiešsaistes iepirkšanās nozarē, bet gan uz uzņēmuma attieksmi un to, ko tas nozīmē patērētājiem.

Ja ņemam vērā hakeru skaitu pēdējos pāris gados, piemēram, joprojām neizskaidrojama eBay noplūde EBay datu pārkāpums: kas jums jāzina Lasīt vairāk un Mērķis zaudēt 40 miljonus kredītkaršu Mērķis apstiprina līdz 40 miljoniem ASV klientu kredītkartes, kuras, iespējams, ir nolaupītasTērķis tikko ir apstiprinājis, ka uzlauzšana varēja apdraudēt kredītkartes informāciju līdz 40 miljoni klientu, kas ir iepirkušies ASV veikalos no 27. novembra līdz 15. decembrim 2013. Lasīt vairāk tad mēs redzam, ka labākajā gadījumā šķiet neziņa vai sliktākajā gadījumā pilnīga pašapmierinātība attiecībā uz tiešsaistes drošību.

Piemēram, Moonpig atbilde uz jaunumiem:

Mēs zinām pretenzijas par klientu datiem un varam apstiprināt, ka visa parole un maksājuma informācija ir un vienmēr ir bijusi droša.

- kapa piemineklis?? (@MoonpigUK) 2015. gada 6. janvāris

Šis mēģinājums ierobežot bojājumus tika nekavējoties izsaukts:

.@MoonpigUK Neatkarīgi no vārdiem, derīguma termiņiem un pēdējiem 4 cipariem, kas vairāk nekā 17 mēnešus ir pieejami vienkārši caur jūsu API... @Charlotteis

- Džeimss Seimūrs-Loks (@JamesSLock) 2015. gada 6. janvāris

Neskatoties uz sabiedrisko attiecību katastrofu, Moonpig nespēja savlaicīgi tikt galā ar šo jautājumu izceļ regulāru iespiešanās testu svarīgums tīmekļa vietnēs, kas saistītas ar internetu, kā arī reaģēšana uz drošību tūlītējas konsultācijas.

Kā klienti var gūt labumu no drošības ievainojamībām

Nav skaidrs, vai no Moonpig tika nozagti kādi dati, izmantojot šo ievainojamību, un, pamatojoties uz viņu līdz šim veiktajiem bojājumu ierobežošanas centieniem, viņi, iespējams, nebūtu dalījušies ar informāciju, pat ja viņiem būtu tāda informācija.

Pēdējo 24 mēnešu laikā beigušās problēmas ar tiešsaistes iepirkšanās drošību ir sākušas mazināt uzticību nozarei. Kaut arī, piemēram, eBay šajā posmā sniedz maz (un nekad nav apstiprinājis, kā viņu dati tika uzlauzti), tas tā ir ievērojama virzība uz bezmaksas sarakstiem un citiem bonusiem 2014. gada vidū liecina, ka palika daudz lietotāju prom.

muo-drošība-moonpig-hack-card2

Īsāk par civilo prasību uzsākšanu pret šiem uzņēmumiem, vienīgie reālie soļi, ko klienti var spert pret acīmredzamu savu datu ļaunprātīgu izmantošanu un nedrošību (un, ja jūs esat Moonpig.com klients, ir vērts pārbaudīt, vai jūsu solījumos par datu drošību ir norādīts jūsu sākotnējos noteikumos un nosacījumos) ir balsot ar viņu maki.

Līdz ar eksploziju kurjeru pakalpojumos un dronu piegādēm, plašām noliktavām visā valstī un apjomīgajām piegādēm, Amazon pierāda, kā izpildīt klientu pasūtījumus un saglabāt viņu datus drošībā (līdz šim). Citiem uzņēmumiem vajadzētu izmantot Amazon kā piemēru, nevis aptuvenu veidni, lai mēģinātu atdarināt. To nedarot, tiešsaistes iepirkšanās var beigties tikai ar kopējo Amazon pārsvaru.

Tikai veicot pasākumus, lai iepirktos citur, mēs varam gūt labumu no tā, ka tiešsaistes veikali nopietni uztver viņu pienākumus.

Neatstājiet tiešsaistes iepirkšanos vēl: vienkārši iepērieties gudrāk

Pēdējo pāris gadu laikā mēs esam redzējuši pārāk daudz lielu vārdu, kas uzlauzti. Bet šī ielaušanās un tam sekojošā datu noplūde nenozīmē, ka jums ir jāpaliek klientam. Patiesībā jums vajadzētu rīkoties pretēji un doties uz drošākiem konkurentiem vai arī iepirkties uz vietas. Ja esat aizrāvies un iepērkaties vietnē, kurā tiek uzlauzts, iespējams, arī jūs apsveriet šīs alternatīvās iespējas Veikals, kurā jūs iepērkas, lai saņemtu hakeru? Lūk, ko darīt Lasīt vairāk .

Protams, jums varētu būt labāks risinājums. Tāpēc, lai dalītos ar to, izmantojiet komentārus un visus iespējamos saistītos stāstus.

Attēla kredīts: Iepirkšanās tiešsaistē, izmantojot Shutterstock

Kristians Kavelijs ir redaktora vietnieks drošības, Linux, DIY, programmēšanas un skaidrojošo tehnoloģiju jautājumos. Viņš arī ražo The Really Useful Podcast un viņam ir liela pieredze darbvirsmas un programmatūras atbalstā. Žurnāla Linux Format līdzstrādnieks Kristians ir Raspberry Pi veidotājs, Lego cienītājs un retro spēļu ventilators.