Διαφήμιση

Το ηλεκτρονικό κατάστημα ευχετήριων καρτών Moonpig εξέθεσε δεδομένα πελατών σε hackers για τουλάχιστον 15 μήνες, παρά τις προειδοποιήσεις από έναν ειδικό ότι υπήρχε μια τρύπα που έπρεπε να συνδεθεί.

Υπάρχουν πολλά μαθήματα εδώ. Το πρώτο: η εταιρική αλαζονεία είναι επικίνδυνη. Δεύτερον: είναι σημαντικό για τους πελάτες να εκπαιδεύονται και να διασφαλίζουν ότι οι εταιρείες εργάζονται για να τους διατηρήσουν ασφαλείς. Και το τρίτο: ένα «γνωστό όνομα» δεν είναι απαραίτητα ασφαλές.

Το Moonpig είναι ένα ηλεκτρονικό κατάστημα ευχετήριων καρτών που πουλάει προσαρμοσμένες κάρτες και κούπες μέσω του ιστότοπού τους. Πολύ δημοφιλής (χάρη στην τακτική τηλεοπτική διαφήμιση), η Moonpig έστειλε 6 εκατομμύρια κάρτες στο Ηνωμένο Βασίλειο το 2007. Ενώ ένας βρετανικός ιστότοπος (με έδρα το Λονδίνο και το Channel Island of Guernsey), αυτή είναι μια κατάσταση που επηρεάζει τους αγοραστές και τους ιδιοκτήτες διαδικτυακών καταστημάτων σε όλο τον κόσμο.

The Moonpig Hack: Τι συνέβη;

Το 2013, ο προγραμματιστής Paul Price ανακάλυψε ότι τα αιτήματα API για κινητά στον ιστότοπο Moonpig.com θα μπορούσαν να παραβιαστούν, επιτρέποντας έτσι στους εγκληματίες χάκερ να κάνουν παραγγελίες σε οποιονδήποτε λογαριασμό. Επιπλέον, δεδομένα όπως ονόματα πελατών, ημερομηνία γέννησης, διεύθυνση, λήξη πιστωτικής κάρτας και τα τελευταία τέσσερα ψηφία της κάρτας.

instagram viewer

muo-security-moonpig-hack-card

Οι ιστότοποι που προσφέρουν διαδικτυακές αγορές συνήθως παρέχουν περιορισμούς τιμών που μειώνουν τον αντίκτυπο των αυτοματοποιημένων σεναρίων, αλλά η Moonpig παρέλειψε να το κάνει, καθιστώντας τον έναν εύκολο, ανοιχτό στόχο για χάκερ.

Αρχικά ενημερώθηκε από τον Price για την ευπάθεια στα μέσα του 2013, ο Moonpig ισχυρίστηκε ότι θα το επιδιορθώσει αμέσως. 18 μήνες αργότερα, η ευπάθεια παρέμεινε.

Είπε τιμή όταν αυτός δημοσίευσε λεπτομέρειες σχετικά με την ευπάθεια Σε σύνδεση:

«Έχω δει μερικά μέτρα ασφαλείας κατά τη διάρκεια του χρόνου μου, αλλά αυτό παίρνει μόνο το μπισκότο. Όποιος αρχιτέκτονας αυτό το σύστημα πρέπει να είναι υδάτινος. Κάθε αίτημα API είναι έτσι: δεν υπάρχει κανένας έλεγχος ταυτότητας και μπορείτε να μεταβιβάσετε οποιοδήποτε αναγνωριστικό πελάτη για να τα πλαστοπροσωπήσετε. Ένας εισβολέας θα μπορούσε εύκολα να κάνει παραγγελίες σε λογαριασμούς άλλων πελατών, να προσθέσει ή να ανακτήσει πληροφορίες κάρτας, να προβάλει αποθηκευμένες διευθύνσεις, να δει παραγγελίες και πολλά άλλα. "

Ουσιαστικά, χρησιμοποιήθηκε βασικός έλεγχος ταυτότητας και αποκαλύφθηκαν δεδομένα λογαριασμού χωρίς ελέγχους ελέγχου ταυτότητας.

Ο Price αποφάσισε να δημοσιοποιηθεί με το hack, αφού ο Moonpig ανταποκρίθηκε στην επακόλουθη επαφή του τον Σεπτέμβριο του 2014 για να επιδιορθώσει τα Χριστούγεννα. Όταν αποκάλυψε όλα στις 5 Ιανουαρίουου, έπρεπε να συνδεθεί ακόμη.

Η αντίδραση του Moonpig στο Hack

Το μάθημα αυτής της ιστορίας δεν αφορά τόσο το χάκετ - συμβαίνουν όλο και περισσότερο στον κλάδο των διαδικτυακών αγορών - αλλά για τη στάση της εταιρείας και τι σημαίνει αυτό για τους καταναλωτές.

Αν λάβουμε υπόψη τον όγκο των hacks τα τελευταία δύο χρόνια, όπως ακόμα ανεξήγητη διαρροή eBay Η παραβίαση δεδομένων eBay: Τι πρέπει να γνωρίζετε Διαβάστε περισσότερα και Στόχος να χάσετε 40 εκατομμύρια πιστωτικές κάρτες Ο στόχος επιβεβαιώνει έως και 40 εκατομμύρια πιστωτικές κάρτες πελατών ΗΠΑ που ενδέχεται να παραβιαστούνΟ Target μόλις επιβεβαίωσε ότι μια παραβίαση θα μπορούσε να έχει θέσει σε κίνδυνο τα στοιχεία της πιστωτικής κάρτας έως και 40 εκατομμύρια πελάτες που αγόρασαν στα καταστήματά τους στις ΗΠΑ μεταξύ 27 Νοεμβρίου και 15 Δεκεμβρίου 2013. Διαβάστε περισσότερα τότε μπορούμε να δούμε ότι φαίνεται να υπάρχει στην καλύτερη περίπτωση μια άγνοια, στη χειρότερη απόλυτη εφησυχία, για την ασφάλεια στο διαδίκτυο.

Πάρτε, για παράδειγμα, την απάντηση του Moonpig στα νέα:

Γνωρίζουμε τις αξιώσεις σχετικά με τα δεδομένα πελατών και μπορούμε να επιβεβαιώσουμε ότι όλοι οι κωδικοί πρόσβασης και τα στοιχεία πληρωμής είναι και ήταν πάντα ασφαλείς.

- Tombpig?? (@MoonpigUK) 6 Ιανουαρίου 2015

Αυτή η απόπειρα περιορισμού των ζημιών κλήθηκε αμέσως:

.@MoonpigUK Εκτός από τα ονόματα, τις ημερομηνίες λήξης και τα τελευταία 4 ψηφία στα οποία έχετε πρόσβαση μόνο μέσω του API σας για πάνω από 17 μήνες… @Charlotteis

- James Seymour-Lock (@JamesSLock) 6 Ιανουαρίου 2015

Πέρα από την καταστροφή των δημοσίων σχέσεων, η αδυναμία του Moonpig να αντιμετωπίσει το ζήτημα έγκαιρα τονίζει σημασία της τακτικής εκτέλεσης δοκιμών διείσδυσης σε ιστότοπους που αντιμετωπίζουν το Διαδίκτυο, καθώς και απόκριση στην ασφάλεια συμβουλές αμέσως.

Πώς μπορούν οι πελάτες να επωφεληθούν από τις ευπάθειες ασφαλείας

Δεν είναι σαφές εάν κάποια δεδομένα έχουν κλαπεί από τη Moonpig μέσω αυτής της ευπάθειας και βάσει των προσπαθειών περιορισμού των ζημιών τους μέχρι στιγμής, πιθανότατα δεν θα μοιράζονταν τις πληροφορίες, ακόμη και αν τις είχαν.

Τα ατελείωτα ζητήματα με την ασφάλεια των διαδικτυακών αγορών κατά τους τελευταίους 24 μήνες έχουν αρχίσει να υπονομεύουν την εμπιστοσύνη στον κλάδο. Ενώ το eBay δίνει λίγα πράγματα σε αυτό το στάδιο, για παράδειγμα (και ποτέ δεν επιβεβαίωσε πώς τα δεδομένα τους παραβιάστηκαν) είναι Η αξιοσημείωτη προσπάθεια για δωρεάν καταχωρίσεις και άλλα μπόνους στα μέσα του 2014 υποδηλώνει ότι πολλοί χρήστες έμειναν Μακριά.

muo-security-moonpig-hack-card2

Πριν από την έναρξη αστικών αγωγών εναντίον αυτών των εταιρειών, τα μόνα πραγματικά βήματα που μπορούν να κάνουν οι πελάτες ενάντια στην κατάφωρη κατάχρηση και ανασφάλεια των δεδομένων τους (και αν είστε πελάτης της Moonpig.com, αξίζει να ελέγξετε για τυχόν υποσχέσεις ασφάλειας δεδομένων στους αρχικούς όρους και προϋποθέσεις σας) είναι να ψηφίσετε με τους πορτοφόλια.

Με την έκρηξη στις υπηρεσίες ταχυμεταφορών και τις παραδόσεις drone, τεράστιες αποθήκες σε όλη τη χώρα και τεράστιες παραδόσεις, η Amazon αποδεικνύει πώς να εκπληρώνει τις παραγγελίες των πελατών και να διατηρεί τα δεδομένα τους ασφαλή (μέχρι στιγμής). Άλλες εταιρείες θα πρέπει να χρησιμοποιούν το Amazon ως παράδειγμα, αντί για ένα πρόχειρο πρότυπο για να μιμηθούν. Αν δεν το κάνετε αυτό μπορεί να οδηγήσει μόνο στο τέλος των διαδικτυακών αγορών - ή στην πλήρη κυριαρχία του Amazon.

Μόνο κάνοντας βήματα για αγορές αλλού μπορούμε να επωφεληθούμε από τα διαδικτυακά καταστήματα που παίρνουν στα σοβαρά τις ευθύνες τους.

Μην τερματίσετε ακόμη τις διαδικτυακές αγορές: Απλώς ψωνίστε πιο έξυπνα

Τα τελευταία δύο χρόνια έχουμε δει πολλά μεγάλα ονόματα να έχουν παραβιαστεί. Αλλά αυτές οι εισβολές και οι επακόλουθες διαρροές δεδομένων, δεν σημαίνει ότι πρέπει να παραμείνετε πελάτης. Στην πραγματικότητα, πρέπει να κάνετε το αντίθετο και να κατευθυνθείτε για τους πιο ασφαλείς ανταγωνιστές ή να ψωνίσετε τοπικά. Εάν έχετε πιάσει και ψωνίσετε σε έναν ιστότοπο που έχει παραβιαστεί, μπορείτε επίσης εξετάστε αυτές τις εναλλακτικές επιλογές Αποθηκεύστε τα ψώνια σας στο Hacked; Να τι να κάνετε Διαβάστε περισσότερα .

Φυσικά, μπορεί να έχετε μια καλύτερη λύση. Χρησιμοποιήστε λοιπόν τα σχόλια για να τα μοιραστείτε και τυχόν σχετικές ιστορίες που μπορεί να έχετε.

Πιστωτική εικόνα: Αγορές μέσω Διαδικτύου μέσω του Shutterstock

Ο Christian Cawley είναι Αναπληρωτής Επεξεργαστής για Ασφάλεια, Linux, DIY, Προγραμματισμός και Tech Explained. Παράγει επίσης το The Really Useful Podcast και έχει εκτεταμένη εμπειρία στην υποστήριξη επιτραπέζιων υπολογιστών και λογισμικού. Συμμετέχων στο περιοδικό Linux Format, ο Christian είναι ένα Raspberry Pi tinkerer, λάτρης του Lego και λάτρεις του ρετρό gaming.