Falhas de segurança destacam importância de votar com sua carteira
Loja de cartão de cumprimentos Moonpig expostos dados do cliente para hackers durante pelo menos 15 meses, apesar das advertências de um perito que havia um buraco que precisava ser conectado.
Conteúdo
Há várias lições aqui. A primeira: a arrogância corporativa é perigoso. Segundo: é importante para os clientes a educar-se e certifique-se as empresas estão trabalhando para mantê-los seguros. E o terceiro: um “nome conhecido” não é necessariamente uma forma segura.
Moonpig é uma loja cartão de cumprimentos online que vende cartões e canecas de design personalizado através do seu site. Imensamente popular (graças à propaganda na TV regular), Moonpig enviado 6 milhões de cartões em no Reino Unido em 2007. Enquanto um site britânico (com sede em Londres eo Channel Island of Guernsey), esta é uma situação que afeta os consumidores e donos de lojas on-line ao redor o mundo.
O Moonpig Hack: O que aconteceu?
Voltar em 2013, desenvolvedor Paul Price descobriu que as solicitações da API móveis no site da Moonpig.com poderia ser cortado, permitindo assim que hackers criminosos para fazer pedidos em qualquer conta. Além disso, dados como nomes de clientes, data de nascimento, endereço, expirações de cartão de crédito e os últimos quatro dígitos do cartão pode ser visualizado.
Sites que oferecem compras on-line geralmente oferecem limitadores de taxa que reduzem o impacto dos scripts automatizados, mas Moonpig omitido para fazer isso, tornando-se uma tarefa fácil, alvo aberto para hackers.
Inicialmente informado por Preço da vulnerabilidade em meados de 2013, Moonpig afirmou que eles iriam corrigi-lo direito away- 18 meses mais tarde, a vulnerabilidade permaneceu.
Disse Price quando publicou detalhes da vulnerabilidade on-line:
“Eu vi algumas medidas arsed meio de segurança no meu tempo, mas isso só leva o biscoito. Quem arquiteto este sistema precisa ser afogado. Cada solicitação de API é assim: não há nenhuma autenticação em tudo e você pode passar em qualquer ID de cliente para representá-los. Um invasor pode facilmente colocar ordens em outras contas de clientes, adicionar ou recuperar informações de cartão, exibição salva endereços, visualizar ordens e muito mais “.
Essencialmente, autenticação básica estava sendo usado e os dados da conta revelou, sem verificações de autenticação.
Preço decidiu ir a público com o hack depois Moonpig respondeu a seu contato follow-up em setembro de 2014 para ter a correção no local até o Natal. Quando ele revelou tudo em 5 de janeiroº, tinha ainda a ser ligado.
Reação de Moonpig Para o hack
A lição desta história não é tanto sobre o hack - eles estão acontecendo cada vez mais na indústria de compras on-line -, mas sobre a atitude da empresa, eo que isso significa para os consumidores.
Se considerarmos o volume de cortes ao longo dos últimos dois anos, como vazamento eBay ainda inexplicada e Alvo perder 40 milhões de cartões de crédito então podemos ver que não parece ser a melhor uma ignorância, na pior das hipóteses complacência total, para a segurança online.A Violação eBay Dados: O Que Você Precisa SaberA Violação eBay Dados: O Que Você Precisa Saberconsulte Mais informação
Tomemos, por exemplo, a resposta Moonpig à notícia:
Esta tentativa de limitação de danos foi imediatamente gritou:
.@MoonpigUK Realmente? Essa é a sua estratégia para lidar com sendo chamado em sua negligência? Mentir sobre isso?
- Chris Ward (@christopherward) 06 de janeiro de 2015
desastre de relações públicas para o lado, a incapacidade de Moonpig para lidar com o problema em tempo hábil destaca a importância de testes de penetração running regulares em sites da Internet enfrenta, bem como responder a alertas de segurança prontamente.
Como os clientes podem beneficiar de Vulnerabilidades de Segurança
Não está claro se algum dos dados foi roubado de Moonpig via essa vulnerabilidade, e com base em seus esforços de redução dos danos até agora eles provavelmente não partilharam informação mesmo que tinha.
Os intermináveis problemas com segurança de compras online nos últimos 24 meses ou assim começaram a minar a confiança na indústria. Enquanto eBay está dando pouco longe nesta fase, por exemplo (e nunca confirmada como seus dados foi hackeado) é notável impulso para listas livres e outros bônus durante o meio de 2014 sugere um monte de usuários ficou longe.
Curto de lançar ações cíveis contra essas empresas, os únicos clientes passos reais podem tomar contra o uso indevido flagrante e insegurança dos seus dados (e se você é um cliente Moonpig.com vale a pena verificar para quaisquer promessas de segurança de dados em seus termos originais e condições) é votar com suas carteiras.
Com a explosão em serviços de correio e entregas zangão, grandes armazéns em todo o país e grandes entregas, a Amazon está provando como satisfazer encomendas de clientes e manter seus dados seguros (até agora). Outras empresas deve estar usando Amazon como exemplo, ao invés de um modelo áspero para tentar imitar. Não fazer isso só pode resultar no fim das compras online - ou o domínio total da Amazônia.
Apenas tomando medidas para fazer compras em outro lugar podemos beneficiar de lojas online que tomam a sério suas responsabilidades.
Não parar de compras on-line No entanto: Apenas Loja Smarter
Ao longo dos últimos anos temos visto muitos grandes nomes hackeados. Mas essas invasões e posteriores vazamentos de dados, não significa que você tem que continuar a ser um cliente. Na verdade, você deve fazer o oposto e cabeça para os concorrentes mais seguros, ou fazer compras localmente, em vez disso. Se você está travado para fora e fazer compras em um site que é cortado, você pode também considere estas opções alternativas.Loja que você fazer compras em hackeado? Aqui está o que fazerLoja que você fazer compras em hackeado? Aqui está o que fazerconsulte Mais informação
Claro, você pode ter uma solução melhor. Portanto, use os comentários para compartilhá-lo, e quaisquer histórias relacionadas que possa ter.