Online hilsen kort butik Moonpig udsatte kundedata til hackere i mindst 15 måneder, på trods af advarsler fra en ekspert, at der var et hul, der skulle tilsluttes.
Der er flere lektioner her. Den første: virksomhedernes arrogance er farlig. For det andet: Det er vigtigt for kunderne at uddanne sig selv, og sørg for, at virksomhederne arbejder for at holde dem sikre. Og det tredje: et "kendt navn" er ikke nødvendigvis et sikkert.
Moonpig er en online hilsen kort butik, der sælger specialdesignede kort og krus gennem deres hjemmeside. Meget populær (takket være almindelig tv-reklame) sendte Moonpig 6 millioner kort i Storbritannien i 2007. Mens et britisk websted (baseret i London og Channel Island of Guernsey) er dette en situation, der påvirker kunder og online-butiksejere rundt omkring verdenen.
The Moonpig Hack: Hvad skete der?
Tilbage i 2013 opdagede udvikleren Paul Price, at mobile API-anmodninger på Moonpig.com-webstedet kunne blive hacket, hvilket gør det muligt for kriminelle hackere at placere ordrer på enhver konto. Derudover kan data som kundenavne, fødselsdato, adresse, kreditkortudløb og de sidste fire cifre på kortet ses.
Websites, der tilbyder online shopping, leverer normalt takstbegrænsere, der reducerer virkningen af automatiserede scripts, men Moonpig udelades for at gøre dette, hvilket gør det til et nemt og åbent mål for hackere.
Oprindeligt oplyst af Price of sårbarheden i midten af 2013, hævdede Moonpig at de ville rette det med det samme; 18 måneder senere forblev sårbarheden.
Prisen sagde, da han offentliggjorde oplysninger om sårbarheden online:
"Jeg har set nogle halv arsed sikkerhedsforanstaltninger i min tid, men det tager bare kiks. Den, der arkitekt dette system skal være waterboarded. Hver API-anmodning er som denne: Der er slet ingen godkendelse, og du kan videregive i et hvilket som helst kunde-id for at efterligne dem. En angriber kan nemt placere ordrer på andre kunders konti, tilføje eller hente kortoplysninger, se gemte adresser, se ordrer og meget mere. "
I grunden blev grundlæggende autentificering brugt og kontooplysninger afsløret uden godkendelseskontrol.
Prisen besluttede at gå offentligt ud med hacket, efter at Moonpig svarede på sin opfølgningskontakt i september 2014 for at få løsningen på plads ved julen. Da han afslørede alt den 5. januar, havde den endnu ikke været tilsluttet.
Moonpig's Reaction To The Hack
Lærdommen af denne historie handler ikke så meget om hacket - de sker mere og mere i online shopping industrien - men om holdningen hos virksomheden og hvad det betyder for forbrugerne.
Hvis vi overvejer mængden af hack i løbet af de sidste par år, såsom stadig uforklarlig ebay lækage eBay Data Breach: Hvad du behøver at vide eBay data brud: Hvad du behøver at vide Læs mere og mål at miste 40 millioner kreditkort Mål bekræfter op til 40 millioner amerikanske kunder Kreditkort Potentialt hacket mål bekræfter op til 40 millioner amerikanske kunder Kreditkort Potentielt Hacked Target har netop bekræftet, at et hack kunne have kompromitteret kreditkortoplysningerne for op til 40 millioner kunder, der har handlet i USA gemmer mellem 27. november og 15. december 2013. Læs mere, så vi kan se, at der i bedste fald findes en uvidenhed, i værste fald fuldstændig selvtilfredshed, mod online sikkerhed.
Tag for eksempel Moonpig-responsen til nyhederne:
Vi er opmærksomme på krav på kundedata og kan bekræfte, at alle adgangskoder og betalingsoplysninger er og altid har været sikre.
- Moonpig (@MoonpigUK) 6. januar 2015
Dette forsøg på skadebegrænsning blev straks opkaldt:
. @ MoonpigUK Virkelig? Det er din strategi for at håndtere at blive opfordret til din uagtsomhed? Lige om det?
- Chris Ward (@christopherward) 6. januar 2015
. @ MoonpigUK Bortset fra navne, udløbsdatoer og sidste 4 cifre, der har været tilgængelige simpelthen via din API i over 17 måneder ... @Charlotteis
- James Seymour-Lock (@JamesSLock) 6. januar 2015
Dispensationsrelaterede katastrofer bortfalder, Moonpigs manglende evne til at behandle spørgsmålet rettidigt understreger betydningen af regelmæssigt igangværende penetrationstest på internettet modstående websteder samt at reagere hurtigt på sikkerhedsrådgivning.
Hvordan kunder kan drage fordel af sikkerhedsproblemer
Det er ikke klart, om der blev stjålet data fra Moonpig via denne sårbarhed, og på baggrund af deres begrænsningsindsats indtil videre har de sandsynligvis ikke dele oplysningerne, selvom de havde det.
De endeløse problemer med online shopping sikkerhed i løbet af de sidste 24 måneder eller der er begyndt at undergrave tilliden til branchen. Mens eBay giver lidt væk på dette tidspunkt, for eksempel (og aldrig bekræftet, hvordan deres data blev hacket), er det bemærkelsesværdigt at køre mod gratis lister og andre bonusser i midten af 2014, hvilket tyder på, at mange brugere forblev væk.
Kort om at lancere civile handlinger imod disse virksomheder, er de eneste virkelige skridt, som kunderne kan imødegå den markante misbrug og usikkerhed af deres data (og hvis du er en Moonpig.com-kunde, er det værd at kontrollere eventuelle løfte om datasikkerhed i dine oprindelige vilkår og betingelser) er at stemme med deres tegnebøger.
Med eksplosionen i kurertjenester og drone-leverancer, store varehuse rundt om i landet og store leverancer, viser Amazon, hvordan man kan opfylde kundeordrer og holde deres data sikkert (hidtil). Andre virksomheder skal bruge Amazon som et eksempel snarere end en grov skabelon for at forsøge at efterligne. Undladelse af at gøre dette kan kun resultere i slutningen af online shopping - eller Amazons samlede dominans.
Kun ved at tage skridt til at shoppe andre steder kan vi drage fordel af netbutikker, der tager deres ansvar seriøst.
Afslut ikke online shopping endnu: Bare Shop Smarter
I løbet af de sidste par år har vi set alt for mange store navne hacket. Men disse indtrængen og efterfølgende data lækker betyder ikke, at du skal forblive en kunde. Faktisk skal du gøre det modsatte og lede til de mere sikre konkurrenter, eller i stedet for at handle lokalt. Hvis du er fanget ud og shoppet på et websted, der er hacket, kan du også overveje disse alternative muligheder. Opbevar du på Hacked? Her er hvad du skal gøre Store du handler ved at blive hakkede? Her er hvad der skal gøres Læs mere.
Selvfølgelig kan du have en bedre løsning. Så brug kommentarerne til at dele det og eventuelle relaterede historier du måtte have.
Billedkredit: Shopping online via Shutterstock