פרסומת

חנות כרטיסי הברכה המקוונת Moonpig חשפה את נתוני הלקוחות בפני האקרים לפחות 15 חודשים, למרות אזהרות ממומחה כי היה חור שצריך לחבר.

יש כאן שיעורים מרובים. הראשון: יהירות ארגונית מסוכנת. שנית: חשוב שלקוחות יחנכו את עצמם ווודאו שחברות פועלות כדי לשמור עליהם. והשלישית: "שם ידוע" אינו בהכרח שם בטוח.

Moonpig היא חנות כרטיסי ברכה מקוונת המוכרת כרטיסים וספלים בעיצוב אישי דרך אתר האינטרנט שלהם. פופולרי במיוחד (הודות לפרסום קבוע בטלוויזיה), Moonpig העבירה 6 מיליון כרטיסים בבריטניה בשנת 2007. בעוד אתר בריטי (שמוקם בלונדון ובאי הערוצים גרנזי), זהו מצב שמשפיע על קונים ובעלי חנויות מקוונות ברחבי העולם.

האק חזיר הירח: מה קרה?

עוד בשנת 2013 גילה המפתח פול פרייס כי ניתן לפרוץ בקשות ממשק API לנייד באתר Moonpig.com, ובכך לאפשר להאקרים עבריינים לבצע הזמנות לכל חשבון. בנוסף, ניתן לראות נתונים כמו שמות לקוחות, תאריך לידה, כתובת, תפוגות אשראי וארבע הספרות האחרונות של הכרטיס.

muo-security-moonpig-hack-card

אתרים המציעים קניות מקוונות בדרך כלל מספקים מגבלות קצב שמפחיתים את ההשפעה של סקריפטים אוטומטיים, אך Moonpig השמיט לעשות זאת, מה שהופך אותו למטרה פתוחה ופשוטה עבור האקרים.

instagram viewer

מחיר הודיע ​​לראשונה על ידי פרייס על הפגיעות באמצע 2013, Moonpig טען כי יתקנו אותה מייד; כעבור 18 חודשים נותרה הפגיעות.

אמר פרייס כשהוא פרסמו פרטים על הפגיעות באינטרנט:

"ראיתי כמה אמצעי אבטחה מחומשיים בזמני אבל זה פשוט לוקח את הביסקוויט. מי שעוסק באדריכלות של מערכת זו צריך לגלוש על השולחן. כל בקשת ממשק API היא כזו: אין אימות כלל ותוכל להזין כל זיהוי לקוח כדי להתחזות להם. תוקף יכול בקלות לבצע הזמנות בחשבונות לקוחות אחרים, להוסיף או לאחזר מידע על כרטיסים, להציג כתובות שמורות, להציג הזמנות ועוד ועוד. "

בעיקרון נעשה שימוש באימות בסיסי ונתוני חשבון נחשפו ללא בדיקות אימות.

פרייס החליט לפרסם את הפריצה לאחר שמונפיג הגיב למגע המעקב שלו בספטמבר 2014 כדי לתקן את התיקון עד חג המולד. כשהוא חשף את הכל ב -5 בינוארth, זה עדיין לא היה מחובר.

התגובה של Moonpig לפרוץ

הלקח של הסיפור הזה לא כל כך מדבר על הפריצה - הם קורים יותר ויותר בתעשיית הקניות המקוונת - אלא על היחס של החברה ומה המשמעות של זה לצרכנים.

אם ניקח בחשבון את נפח הפריצות במהלך השנים האחרונות, כגון דליפת eBay שעדיין לא מוסברת הפרת הנתונים ב- eBay: מה שאתה צריך לדעת קרא עוד ו היעד לאבד 40 מיליון כרטיסי אשראי היעד מאשר עד 40 מיליון לקוחות אמריקאים כרטיסי אשראי שעשויים לפרוץהיעד אישר זה עתה שפרוץ יכול היה לסכן את פרטי כרטיס האשראי עד לכדי 40 מיליון לקוחות שרכשו בחנויות בארה"ב בין 27 בנובמבר ל -15 בדצמבר 2013. קרא עוד אנו יכולים לראות כי נראה שיש במקרה הטוב בורות, במקרה הגרוע ביותר של שאננות, כלפי אבטחה מקוונת.

קח, למשל, את תגובת Moonpig לחדשות:

אנו מודעים לתביעות הנוגעות לנתוני לקוחות ויכולים לאשר כי כל פרטי הסיסמא והתשלום הם ותמיד היו בטוחים.

- Tombpig?? (@MoonpigUK) 6 בינואר 2015

ניסיון זה להגבלת נזק נקרא מייד:

.@MoonpigUK מלבד שמות, תאריכי תפוגה וארבע הספרות האחרונות שהיו נגישות פשוט דרך ה- API שלך במשך למעלה מ 17 חודשים... @Charlotteis

- ג'יימס סימור-לוק (@JamesSLock) 6 בינואר 2015

אסון ביחסי ציבור בצד, חוסר היכולת של מונפיג להתמודד עם הנושא בזמן מתווה את הדגש על החשיבות של בדיקות חדירה הפועלות באופן קבוע באתרים הפונים לאינטרנט, כמו גם תגובה לאבטחה ייעוץ מייד.

כיצד לקוחות יכולים ליהנות מפגיעויות אבטחה

לא ברור אם נגנבו נתונים מ- Moonpig באמצעות פגיעות זו, ועל סמך מאמצי הגבלת הנזקים שלהם עד כה הם ככל הנראה לא היו חולקים את המידע גם אם היה להם.

הבעיות האינסופיות עם אבטחת קניות מקוונות במהלך 24 החודשים האחרונים החלו לערער את האמון בענף. בזמן ש- eBay מסלקת מעט בשלב זה, למשל (ואף פעם לא אישרה כיצד הנתונים שלהם נפרצו) נסיעה מדהימה לעבר רישומים בחינם ובונוסים אחרים באמצע 2014 מציעה שהרבה משתמשים נשארו משם.

muo-security-moonpig-hack-card2

לא נפתח בפעולות אזרחיות נגד חברות אלה, הצעדים האמיתיים היחידים שהלקוחות יכולים לנקוט נגד שימוש לרעה בוטה וחוסר ביטחון של הנתונים שלהם (ואם אתה לקוח Moonpig.com, כדאי לבדוק אם יש הבטחות לאבטחת מידע בתנאים וההגבלות המקוריים שלך) זה להצביע עם ארנקים.

עם הפיצוץ בשירותי שליחויות ומשלוחי מזלט, מחסנים עצומים ברחבי הארץ ומשלוחים עצומים, אמזון מוכיחה כיצד למלא הזמנות של לקוחות ולשמור על הנתונים שלהם בטוחים (עד כה). חברות אחרות צריכות להשתמש באמזון כדוגמה, ולא בתבנית גסה לנסות לחקות. אי ביצוע זה יכול לגרום רק לסוף הקניות המקוונות - או לדומיננטיות מוחלטת של אמזון.

רק על ידי נקיטת צעדים לקניות במקום אחר נוכל ליהנות מכך שחנויות מקוונות מתייחסות ברצינות לאחריותן.

עדיין אל תפסיקו מקניות מקוונות: פשוט קנו חכמה יותר

במהלך השנים האחרונות ראינו הרבה יותר מדי שמות גדולים שנפרצו. אבל פריצות אלה ודליפות נתונים שלאחר מכן, אין פירושם שאתה צריך להישאר לקוח. למעשה, עליכם לעשות את ההפך ולפנות אל המתחרים הבטוחים יותר, או לקנות במקום זאת. אם תפסיק לצאת לחנות באתר שנפרץ, ייתכן שתעשה זאת שקול אפשרויות חלופיות אלה לאחסן אתה קונה ב- תפרוץ? הנה מה לעשות קרא עוד .

כמובן, יתכן שיהיה לך פיתרון טוב יותר. אז השתמש בתגובות כדי לשתף אותו, ובכל הסיפורים הקשורים לך.

אשראי תמונה: קניות באינטרנט דרך Shutterstock

כריסטיאן קאוולי הוא סגן עורך לביטחון, לינוקס, עשה זאת בעצמך, תכנות וטכנולוגיות. הוא גם מייצר את הפודקאסט שימושי באמת ובעל ניסיון רב בתמיכה בשולחן עבודה ותוכנה. תורם למגזין Linux Format, כריסטיאן הוא טינקרר Raspberry Pi, חובב לגו וחובב משחקי הרטרו.