Содержание
Интернет-магазин поздравительных открыток Moonpig обнародовал данные о клиентах хакерам в течение как минимум 15 месяцев, несмотря на предупреждения эксперта о наличии дыры, которую необходимо было закрыть.
Здесь есть несколько уроков. Первое: корпоративное высокомерие опасно. Второе: для клиентов важно самообразоваться и следить за тем, чтобы компании работали над тем, чтобы обеспечить их безопасность. И третье: «известное имя» не обязательно является безопасным.
Moonpig — это интернет-магазин поздравительных открыток, который продает специально разработанные открытки и кружки через их веб-сайт. Очень популярный (благодаря регулярной телевизионной рекламе), Moonpig отправил 6 миллионов карт в Великобритании в 2007 году. Хотя это британский сайт (базируется в Лондоне и на Нормандском острове Гернси), это ситуация, которая затрагивает покупателей и владельцев интернет-магазинов по всему миру. мир.
Взлом лунной свиньи: что случилось?
Еще в 2013 году разработчик Пол Прайс обнаружил, что запросы мобильного API на веб-сайте Moonpig.com могут быть взломаны, что позволяет криминальным хакерам размещать заказы на любом аккаунте. Кроме того, можно просматривать такие данные, как имена клиентов, дата рождения, адрес, срок действия кредитной карты и последние четыре цифры карты.
Веб-сайты, которые предлагают покупки в Интернете, обычно предоставляют ограничители скорости, которые уменьшают влияние автоматизированных сценариев, но Moonpig не делает этого, что делает его легкой и открытой целью для хакеров.
Первоначально сообщенный Прайсом об этой уязвимости в середине 2013 года, Moonpig заявил, что они исправят ее сразу же; 18 месяцев спустя уязвимость осталась.
Прайс сказал, когда он опубликовал детали уязвимости в Интернете:
«В свое время я видел несколько полусмертных мер безопасности, но это только печенька. Кто бы ни создавал эту систему, он должен быть заброшен на воду. Каждый запрос API выглядит следующим образом: аутентификация вообще отсутствует, и вы можете передать любой идентификатор клиента, чтобы выдать себя за него. Злоумышленник может легко размещать заказы на счетах других клиентов, добавлять или извлекать информацию о карте, просматривать сохраненные адреса, просматривать заказы и многое другое ».
По сути, использовалась базовая аутентификация, а данные аккаунта показывались без проверок аутентификации.
Прайс решил обнародовать взломать после того, как Moonpig ответил на его последующий контакт в сентябре 2014 года, чтобы исправить положение к Рождеству. Когда он раскрыл все 5 января, он еще не был подключен.
Реакция Moonpig на взломать
Урок этой истории не столько о взломе — они все чаще происходят в индустрии онлайн-покупок — но и об отношении компании и о том, что это значит для потребителей.
Если принять во внимание объем хаков за последние пару лет, таких как все еще необъяснимые утечки eBay
и цель потерять 40 миллионов кредитных карт
тогда мы можем видеть, что в лучшем случае существует невежество, а в худшем — полное самодовольство по отношению к сетевой безопасности.
Взять, к примеру, ответ Moonpig на новости:
Мы знаем о претензиях, касающихся данных клиентов, и можем подтвердить, что вся информация о пароле и платежах была и всегда была безопасной.
— Tombpig ?? (@MoonpigUK) 6 января 2015 г.
Эта попытка ограничения ущерба была немедленно вызвана:
.@MoonpigUK Помимо имен, даты истечения срока действия последние 4 цифры, которые были доступны просто через ваш API более 17 месяцев… @Charlotteis
— Джеймс Сеймур-Лок (@JamesSLock) 6 января 2015 г.
Помимо катастрофы по связям с общественностью, неспособность Moonpig своевременно решить эту проблему подчеркивает важность регулярных тестов проникновения на веб-сайты, обращенные к Интернету, а также быстрого реагирования на рекомендации по безопасности.
Как клиенты могут извлечь выгоду из уязвимостей безопасности
Неясно, были ли какие-либо данные украдены из Moonpig с помощью этой уязвимости, и, основываясь на их усилиях по ограничению ущерба, они, вероятно, не будут делиться информацией, даже если бы они ее имели.
Бесконечные проблемы с безопасностью онлайн-покупок в течение последних 24 месяцев начали подрывать доверие к отрасли. Хотя на этом этапе eBay мало что дает, например (и никогда не подтверждал, как их данные были взломаны), он замечательно подталкивает к бесплатным спискам и другим бонусам в середине 2014 года, что позволяет предположить, что многие пользователи остались в стороне.
Если не начинать гражданские иски против этих компаний, единственные реальные шаги, которые клиенты могут предпринять против вопиющего неправомерного использования и ненадежности своих данных (и если вы являетесь пользователем Moonpig.com, стоит проверить любые обещания безопасности данных в ваших первоначальных условиях и условия) это голосовать со своими кошельками.
С ростом числа курьерских служб и доставок беспилотников, огромных складов по всей стране и огромных поставок, Amazon доказывает, как выполнять заказы клиентов и сохранять их данные в безопасности (пока). Другие компании должны использовать Amazon в качестве примера, а не грубый шаблон, чтобы попытаться имитировать. Невыполнение этого требования может привести только к концу онлайн-покупок или к общему доминированию Amazon.
Только предпринимая шаги, чтобы делать покупки в других местах, мы можем извлечь выгоду из интернет-магазинов, серьезно относящихся к своим обязанностям.
Пока не делайте покупки в Интернете: просто делайте покупки умнее
За последние пару лет мы видели слишком много взломанных громких имен. Но эти вторжения и последующие утечки данных не означают, что вы должны оставаться клиентом. На самом деле, вы должны сделать обратное и направиться к более безопасным конкурентам или делать покупки локально. Если вас поймали и совершают покупки на взломанном сайте, вы можете также рассмотреть эти альтернативные варианты.
,
Конечно, у вас может быть лучшее решение. Так что используйте комментарии, чтобы поделиться ими, и любые связанные истории, которые у вас могут быть.
Имиджевый кредит: Покупки онлайн через Shutterstock
