Online hilsen kortbutikk Moonpig eksponerte kundedata til hackere i minst 15 måneder, til tross for advarsler fra en ekspert om at det var et hull som måtte plugges.
Det er flere leksjoner her. Den første: bedriftens arroganse er farlig. For det andre: Det er viktig for kundene å utdanne seg selv, og sørg for at selskapene jobber for å holde dem sikre. Og den tredje: et "kjent navn" er ikke nødvendigvis et trygt.
Moonpig er en online hilsen kortbutikk som selger spesialdesignede kort og krus gjennom deres nettside. Veldig populært (takket være vanlig tv-reklame), sendte Moonpig 6 millioner kort i Storbritannia i 2007. Mens et britisk nettsted (basert i London og Channel Island of Guernsey), er dette en situasjon som påvirker kjøpere og nettbutikk eiere rundt verden.
The Moonpig Hack: Hva skjedde?
Tilbake i 2013 oppdaget utvikler Paul Price at mobile API-forespørsler på Moonpig.com-nettstedet kunne bli hacket, og dermed kunne kriminelle hackere legge inn bestillinger på en hvilken som helst konto. I tillegg kan data som kundenavn, fødselsdato, adresse, kredittkortutløp og de fire siste sifrene på kortet bli vist.
Nettsteder som tilbyr online shopping gir vanligvis takstbegrensere som reduserer effekten av automatiserte skript, men Moonpig utelates for å gjøre dette, noe som gjør det til et enkelt, åpent mål for hackere.
Opprinnelig informert av Pris av sårbarheten i midten av 2013 hevdet Moonpig at de ville fikse det med en gang; 18 måneder senere forblir sårbarheten.
Sa pris når han publiserte detaljer om sikkerhetsproblemet på nettet:
"Jeg har sett noen halv-arsed sikkerhetstiltak i min tid, men dette tar bare kjeks. Den som arkitekt dette systemet må være waterboarded. Hver API-forespørsel er som denne: Det er ingen godkjenning i det hele tatt, og du kan passere i hvilken som helst kunde-ID for å etterligne dem. En angriper kan enkelt legge inn bestillinger på andre kunders kontoer, legge til eller hente kortinformasjon, se lagrede adresser, vis ordre og mye mer. "
I hovedsak ble grunnleggende autentisering brukt og kontodata avslørt uten autentiseringskontroller.
Prisen bestemte seg for å bli offentlig med hacken etter at Moonpig reagerte på sin oppfølgingskontakt i september 2014 for å få fikset på plass til jul. Da han avslørte alt den 5. januar, hadde den ennå ikke blitt plugget.
Moonpig's Reaction To The Hack
Leksjonen i denne historien handler ikke så mye om hack - de skjer mer og mer i nettbutikkindustrien - men om holdningen til selskapet, og hva dette betyr for forbrukerne.
Hvis vi vurderer volumet av hack de siste par årene, for eksempel fortsatt uforklarlig eBay-lekkasje. EBay-databrudd: Det du trenger å vite eBay-databrudd: Det du trenger å vite Les mer og mål å miste 40 millioner kredittkort Mål bekrefter opptil 40 millioner amerikanske kunder Kredittkort Potensielt hacket mål bekrefter opptil 40 millioner amerikanske kunder Kredittkort Potensielt Hacked Target har nettopp bekreftet at en hack kunne ha kompromittert kredittkortinformasjonen for opptil 40 millioner kunder som har handlet i USA lagrer mellom 27. november og 15. desember 2013. Les mer da vi kan se at det i beste fall synes å være en uvitenhet, i verste fall fullkommen selvtilfredshet, mot nettbasert sikkerhet.
Ta for eksempel Moonpig-responsen til nyhetene:
Vi er klar over krav på kundedata og kan bekrefte at alt passord og betalingsinformasjon er og har alltid vært trygt.
- Moonpig (@MoonpigUK) 6. januar 2015
Dette forsøket på skadebegrensning ble umiddelbart kalt ut:
. @ MoonpigUK egentlig? Det er din strategi for å håndtere å bli kalt ut din uaktsomhet? Lie om det?
- Chris Ward (@christopherward) 6. januar 2015
. @ MoonpigUK Bortsett fra navn, utløpsdatoer og siste 4 sifre som har vært tilgjengelig bare via din API i over 17 måneder ... @Charlotteis
- James Seymour-Lock (@JamesSLock) 6. januar 2015
Public Relations katastrofe bortsett, Moonpigs manglende evne til å håndtere problemet i tide belyser betydningen av regelmessige løpende penetrasjonstester på Internett som vender mot nettsteder, samt å reagere raskt på sikkerhetsrådgivning.
Hvordan kunder kan dra nytte av sikkerhetsproblemer
Det er ikke klart om noen data ble stjålet fra Moonpig via dette sikkerhetsproblemet, og basert på deres skadebegrensningsinnsats så langt, ville de sannsynligvis ikke dele informasjonen selv om de hadde det.
De endeløse problemer med online shopping sikkerhet i løpet av de siste 24 månedene eller så har begynt å undergrave tilliten til bransjen. Selv om eBay gir litt vekk på dette tidspunktet, for eksempel (og aldri bekreftet hvordan dataene deres ble hacket), er det bemerkelsesverdig å kjøre mot gratis oppføringer og andre bonuser i midten av 2014, og det foreslås at mange brukere ble borte.
Kort om lanseringen av sivile tiltak mot disse selskapene, kan de eneste virkelige trinnene kundene tar imot den flagrant misbruk og usikkerhet av deres data (og hvis du er en Moonpig.com-kunde, er det verdt å sjekke løfte om datasikkerhet i dine opprinnelige vilkår og vilkårene) er å stemme med sine lommebøker.
Med eksplosjonen i budtjenester og drone-leveranser, store varehus rundt om i landet og store leveranser, viser Amazon hvordan man kan oppfylle kundeordrer og holde dataene trygge (så langt). Andre selskaper skal bruke Amazon som et eksempel, i stedet for en grov mal for å forsøke å etterligne. Unnlatelse av å gjøre dette kan bare resultere i slutten av online shopping - eller Amazonas totale dominans.
Bare ved å ta skritt for å handle andre steder kan vi dra nytte av nettbutikker som tar sitt ansvar seriøst.
Ikke avslutt Online Shopping ennå: Bare Shop Smarter
I løpet av de siste par årene har vi sett altfor mange store navn hacket. Men disse innbruddene og etterfølgende data lekker, betyr ikke at du må forbli en kunde. Faktisk bør du gjøre det motsatte og hodet for de sikrere konkurrentene, eller handle lokalt, i stedet. Hvis du er fanget og handlet på et nettsted som er hacket, kan du også vurdere disse alternative alternativene Store du handler på å få hacket? Her er hva du skal gjøre, og du handler på å bli hakket? Her er hva du skal gjøre Les mer.
Selvfølgelig kan du ha en bedre løsning. Så bruk kommentarene til å dele den, og eventuelle relaterte historier du måtte ha.
Image Credit: Shopping online via Shutterstock