Joseph Goodman
0 
5289
1370
Internetska prodavaonica čestitki Moonpig najmanje 15 mjeseci izložila je podatke o kupcima hakerima, usprkos upozorenjima stručnjaka da postoji rupa koju je potrebno začepiti.
Ovdje postoji više lekcija. Prvo: korporativna bahatost je opasna. Drugo: važno je da se kupci educiraju i da tvrtke osiguraju da rade na tome. I treće: a “poznato ime” nije nužno sigurno.
Moonpig je internetska trgovina čestitki koja putem svojih web stranica prodaje kartice dizajnirane po mjeri i krigle. Izuzetno popularan (zahvaljujući redovitom TV oglašavanju), Moonpig je isporučio 6 milijuna karata u Velikoj Britaniji 2007. godine. Iako je britanska web lokacija (sa sjedištem u Londonu i Kanalskom otoku Guernsey), to utječe na kupce i vlasnike internetskih trgovina u blizini svijet.
Moonpig Hack: Što se dogodilo?
Još 2013., programer Paul Price otkrio je da se zahtjevi za mobilni API na web stranici Moonpig.com mogu hakirati, što omogućava kriminalnim hakerima da naručuju narudžbe na bilo koji račun. Uz to, mogu se pregledati podaci poput imena kupaca, datuma rođenja, adrese, isteka kreditne kartice i posljednje četiri znamenke kartice..
Web stranice koje nude internetsku kupovinu obično nude ograničenja stope koje smanjuju utjecaj automatiziranih skripti, ali Moonpig je to izostavio, čineći to lakim, otvorenim ciljem za hakere.
Prvobitno obaviještena od strane Price o ranjivosti, sredinom 2013., Moonpig je tvrdio da će je odmah popraviti; 18 mjeseci kasnije ranjivost je ostala.
Said Price je objavio internetske detalje o ranjivosti:
“Svojevremeno sam vidio neke napola sigurnosne mjere, ali za to je potreban keks. Tko god da taj sustav arhitektira treba biti na vodi. Svaki API zahtjev je takav: uopće ne postoji provjera autentičnosti i možete prenijeti bilo koji korisnički ID kako biste se lažno predstavljali. Napadač može lako postavljati narudžbe na račune drugih kupaca, dodavati ili dohvaćati podatke o karticama, pregledavati spremljene adrese, pregledati narudžbe i još mnogo toga.”
U osnovi se koristila osnovna provjera autentičnosti, a podaci računa otkriveni su bez provjere autentičnosti.
Price je odlučio krenuti u javnost s hakarom nakon što je Moonpig odgovorio na svoj naknadni kontakt u rujnu 2014. kako bi mogao popraviti rješenje do Božića. Kad je sve otkrio 5. siječnjath, to je još moralo biti uključeno.
Moonpigova reakcija na hack
Pouka ove priče nije toliko o hacku - oni se događaju sve više i više u industriji internetskih kupovina - već o stavu kompanije i što to znači potrošačima.
Ako uzmemo u obzir količinu hakova u proteklih nekoliko godina, kao što je još uvijek neobjašnjivo propuštanje eBaya Kršenje podataka eBaya: Što trebate znati Kršenje podataka eBaya: što trebate znati i ciljati gubitak 40 milijuna kreditnih kartica Cilj nam potvrđuje Do 40 milijuna američkih kreditnih kartica potencijalno hakiranih ciljeva potvrđuje do 40 milijuna američkih kreditnih kartica potencijalno hakiranih meta upravo je potvrdilo da je hack mogao ugroziti podatke o kreditnoj kartici za do 40 milijuna kupaca koji su se našli u njenim prodavaonicama u SAD-u između 27. studenog i 15. prosinca 2013. godine, tada možemo vidjeti da se čini da je u najboljem slučaju neznanje, u najgorem slučaju krajnje saučešće, prema mrežnoj sigurnosti.
Uzmimo za primjer odgovor Moonpig-a na vijesti:
Svjesni smo podataka o zahtjevima za kupcima i možemo potvrditi da su sve lozinke i podaci o plaćanju uvijek bili sigurni.
- Tombpig ?? (@MoonpigUK) 6. siječnja 2015
Ovaj pokušaj ograničavanja štete odmah je pozvan:
.@MoonpigUK Osim imena, datum isteka i posljednje 4 znamenke koje su jednostavno dostupne putem vašeg API-ja više od 17 mjeseci… @Charlotteis
- James Seymour-Lock (@JamesSLock) 6. siječnja 2015
Na stranu katastrofa u odnosima s javnošću, Moonpig-ova nesposobnost da se pravovremeno pozabavi problemom naglašava važnost redovitog provođenja testova prodora na internetskim stranicama s kojima se suočavaju, kao i brzog reagiranja na sigurnosne savjete..
Kako kupci mogu iskoristiti sigurnosne ranjivosti
Nije jasno jesu li neki podaci ukradeni od Moonpig-a putem ove ranjivosti, a na osnovu njihovih dosadašnjih napora za ograničavanje štete vjerovatno ne bi dijelili informacije čak i da su ih imali..
Beskrajni problemi sa mrežnom sigurnošću kupovine u protekla 24 mjeseca ili tako su počeli potkopati povjerenje u industriju. Iako se eBay u ovoj fazi malo predaje (na primjer, i nikada nije potvrdio kako su hakirani njihovi podaci), nevjerojatan je nagon za besplatnim popisima i drugim bonusima sredinom 2014. godine, što sugerira da je puno korisnika ostalo podalje.
Osim pokretanja civilnih tužbi protiv ovih tvrtki, jedini stvarni koraci koje korisnici mogu poduzeti protiv grube zlouporabe i nesigurnosti njihovih podataka (a ako ste korisnik Moonpig.com, vrijedi provjeriti ima li obećanja o sigurnosti podataka u izvornim uvjetima i uvjeti) je da glasuju sa svojim novčanicama.
S eksplozijom u kurirskim službama i isporukom dronova, ogromnim skladištima u cijeloj zemlji i velikim isporukama, Amazon dokazuje kako ispuniti narudžbe kupaca i čuvati podatke (do sada). Druge bi tvrtke trebale koristiti Amazon kao primjer, a ne grubi obrazac za pokušaj oponašanja. Neuspjeh u tome može rezultirati samo prestankom kupovine putem interneta - ili potpunom dominacijom Amazona.
Samo poduzimanjem koraka za kupnju drugdje možemo imati koristi od internetskih trgovina koje shvataju ozbiljno njihove odgovornosti.
Nemojte više odustati od kupovine putem interneta: samo kupujte pametnije
U proteklih nekoliko godina vidjeli smo predaleko puno velikih imena. Ali, ovi napadi i kasnije curenje podataka ne znače da morate ostati klijent. Zapravo biste trebali učiniti suprotno i umjesto toga krenuti prema sigurnijim konkurentima ili kupovati lokalno. Ako ste uhvaćeni i kupujete na mjestu na kojem je hakiran, možda biste razmotrili i ove alternativne mogućnosti. Evo što trebate pohraniti u trgovinu kod nas hakiranih? Evo što treba učiniti .
Naravno, možda ćete imati bolje rješenje. Zato ih upotrijebite komentarima i dijelite sve povezane priče.
Kreditna slika: Kupnja putem interneta putem Shutterstocka