Реклама
Онлайновый магазин поздравительных открыток Moonpig раскрывал данные клиентов хакерам в течение как минимум 15 месяцев, несмотря на предупреждения эксперта о том, что существует пробел, который необходимо закрыть.
Здесь есть несколько уроков. Первое: корпоративное высокомерие опасно. Второе: для клиентов важно самообразоваться и следить за тем, чтобы компании работали над тем, чтобы обеспечить их безопасность. И третье: «известное имя» не обязательно является безопасным.
Moonpig - это интернет-магазин поздравительных открыток, который продает специально разработанные открытки и кружки через их веб-сайт. Очень популярный (благодаря регулярной телевизионной рекламе), Moonpig отправил 6 миллионов карт в Великобританию в 2007 году. Хотя британский сайт (базируется в Лондоне и на Нормандском острове Гернси), это ситуация, которая затрагивает покупателей и владельцев интернет-магазинов по всему миру.
Взлом лунной свиньи: что случилось?
Еще в 2013 году разработчик Пол Прайс обнаружил, что запросы к мобильному API на веб-сайте Moonpig.com могут быть взломаны, что позволяет преступным хакерам размещать заказы на любом аккаунте. Кроме того, можно просматривать такие данные, как имена клиентов, дата рождения, адрес, срок действия кредитной карты и последние четыре цифры карты.
Веб-сайты, которые предлагают покупки в Интернете, обычно предоставляют ограничители скорости, которые снижают влияние автоматизированных сценариев, но Moonpig не делает этого, что делает его легкой и открытой целью для хакеров.
Первоначально сообщенный Прайсом об этой уязвимости в середине 2013 года, Moonpig заявил, что они исправят ее сразу же; 18 месяцев спустя уязвимость осталась.
Сказал цену, когда он опубликованные сведения об уязвимости онлайн:
«В свое время я видел несколько полусмертных мер безопасности, но это всего лишь печенье. Кто бы ни создавал эту систему, он должен быть заброшен на воду. Каждый запрос API выглядит следующим образом: аутентификация вообще отсутствует, и вы можете передать любой идентификатор клиента, чтобы выдать себя за него. Злоумышленник может легко размещать заказы на счетах других клиентов, добавлять или извлекать информацию о карте, просматривать сохраненные адреса, просматривать заказы и многое другое ».
По сути, использовалась базовая аутентификация, а данные аккаунта показывались без проверок аутентификации.
Прайс решил обнародовать взломать после того, как Moonpig ответил на его последующий контакт в сентябре 2014 года, чтобы исправить положение к Рождеству. Когда он раскрыл все 5 январяго, это еще не было подключено.
Реакция Moonpig на взломать
Урок этой истории не столько о взломе - они все чаще происходят в индустрии онлайн-шоппинга - но и об отношении компании и о том, что это значит для потребителей.
Если мы рассмотрим объем хаков за последние пару лет, таких как все еще необъяснимая утечка eBay Нарушение данных на eBay: что нужно знать Прочитайте больше и Цель потерять 40 миллионов кредитных карт Цель подтверждает возможность взлома до 40 миллионов кредитных карт клиентов СШАЦель только что подтвердила, что хакер мог скомпрометировать информацию о кредитной карте на срок до 40 миллионов покупателей, которые делали покупки в своих магазинах в США с 27 ноября по 15 декабря 2013. Прочитайте больше тогда мы можем видеть, что в лучшем случае существует невежество, а в худшем - полное самодовольство по отношению к сетевой безопасности.
Взять, к примеру, ответ Moonpig на новость:
Мы знаем о претензиях в отношении данных клиентов и можем подтвердить, что вся информация о пароле и платежах была и всегда была безопасной.
- Tombpig?? (@MoonpigUK) 6 января 2015 г.
Эта попытка ограничения ущерба была немедленно вызвана:
.@MoonpigUK Помимо имен, дат истечения срока действия и последних 4 цифр, которые были доступны просто через ваш API более 17 месяцев... @Charlotteis
- Джеймс Сеймур-Лок (@JamesSLock) 6 января 2015 г.
Помимо бедствия по связям с общественностью, неспособность Moonpig своевременно решить проблему важность регулярных тестов проникновения на веб-сайты, обращенные к Интернету, а также реагирования на безопасность консультации быстро.
Как клиенты могут извлечь выгоду из уязвимостей безопасности
Неясно, были ли какие-либо данные украдены из Moonpig с помощью этой уязвимости, и, основываясь на их усилиях по ограничению ущерба, они, вероятно, не будут делиться информацией, даже если бы они ее имели.
Бесконечные проблемы с безопасностью онлайн-покупок в течение последних 24 месяцев начали подрывать доверие к отрасли. Хотя на этом этапе eBay мало что дает, например (и никогда не подтверждал, как их данные были взломаны), это замечательное стремление к бесплатным спискам и другим бонусам в середине 2014 года предполагает, что многие пользователи остались далеко.
Если не предпринимать гражданских исков против этих компаний, единственные реальные шаги, которые клиенты могут предпринять против вопиющего неправомерного использования и ненадежности своих данных (и если вы являетесь пользователем Moonpig.com, стоит проверить наличие обещаний безопасности данных в ваших первоначальных условиях), чтобы проголосовать за их бумажники.
С ростом числа курьерских служб и беспилотных перевозок, огромных складов по всей стране и огромных поставок, Amazon доказывает, как выполнять заказы клиентов и сохранять их данные в безопасности (пока). Другие компании должны использовать Amazon в качестве примера, а не грубый шаблон для подражания. Невыполнение этого требования может привести только к концу онлайн-покупок - или к общему доминированию Amazon.
Только предпринимая шаги, чтобы делать покупки в других местах, мы можем извлечь выгоду из интернет-магазинов, серьезно относящихся к своим обязанностям.
Пока не делайте покупки в Интернете: просто делайте покупки умнее
За последние пару лет мы видели слишком много взломанных громких имен. Но эти вторжения и последующие утечки данных не означают, что вы должны оставаться клиентом. На самом деле, вы должны сделать обратное и направиться к более безопасным конкурентам или делать покупки локально. Если вас поймали и совершают покупки на взломанном сайте, вы также можете рассмотреть эти альтернативные варианты Магазин вы ходите по магазинам на Get Hacked? Вот что делать Прочитайте больше .
Конечно, у вас может быть лучшее решение. Так что используйте комментарии, чтобы поделиться ими, и любые связанные истории, которые у вас могут быть.
Кредит изображения: Покупки онлайн через Shutterstock
Кристиан Коули - заместитель редактора по безопасности, Linux, DIY, программированию и технологиям. Он также выпускает подкаст «Действительно полезный» и имеет большой опыт в поддержке настольных компьютеров и программного обеспечения. Кристиан - участник журнала Raspberry Pi, любитель лего и поклонник ретро-игр.